Šta su DDoS napadi i kako se odbraniti? [WHAT-IS]

Koliko zapravo znate o DDoS napadima? Da biste pobedili neprijatelja, morate prvo da ga upoznate.

Šta su DDoS napadi i kako se odbraniti? [WHAT-IS]

Ako ste vlasnik veb sajta ili ste uključeni u održavanje sajta, sigurno ste čuli za DDoS napade. Ali, koliko zapravo znate o DDoS napadima? Da biste pobedili neprijatelja, morate prvo da ga upoznate.

Šta je DDoS napad?

DDoS (DDoS - Distributed Denial-of-Service) su napadi sa više hiljada računara kojima je cilj da dovedu do preopterećenja veb servera, mreže ili nekog drugog dela infrastrukture i tako onemoguće pristup njihovim korisnicima. Na primer, DDoS napad na link onemogućava pristup internetu, dok DDoS napad na veb server dovodi do „obaranja“ veb sajta.

U ovom tekstu govorićemo upravo o napadima na veb server i merama koje možete preduzeti kako biste ublažili posledice ovih napada.

Zašto DDoS izaziva brige?

DDoS napadi se prvi put pojavljuju početkom ovog milenijuma, iz godine u godinu sve ih je više, sve su obimniji i intenzivniji. Teško ih je sprečiti, preživeli su test vremena, jeftino se mogu iznajmiti i mogu imati dugoročne i razorne posledice.

Moderni DDoS napadi generišu ogromne količine saobraćaja pomoću botova (botnet). Botovi predstavljaju mrežu računara koji su zaraženi malicioznim softverom zbog čega haker ima kontrolu nad njima sa udaljene lokacije. Zaraženi računari rade sasvim normalno najveći deo vremena, osim kada im se zada komanda da spamuju metu. Kada prime komandu, svi računari u mreži kreću sa slanjem tačno određene vrste internet saobraćaja ka tačno određenoj meti. Sa izgrađenom mrežom botova, DDoS napade je mnogo lakše izvesti, a odbrana je teško izvodljiva bez prethodne pripreme i planiranja.

DDoS se često koristi da se sistem dovede u nestabilno stanje (recimo Linux ili Windows), da se zatim iskoristi neka ranjivost i upadne u sam sistem – dakle, DDoS može da prethodni ozbiljnijem napadu.

Tokom DDoS napada, svi resursi sistema su maksimalno opterećeni i dolaze do svojih graničnih veličina, kada su moguće greške ili se ispoljavaju ranjivosti, pa je moguće da se lakše upadne u sam sistem ili dođe do naloga sa većim privilegijama nego što bi inače bilo moguće.

Iako ne postoji način da se napad u potpunosti spreči, strateškim planiranjem se može ublažiti. Neophodno je imati spreman akcioni plan.

Ko je potencijalno ugrožen?

Ugroženi su svi koji imaju veb sajt - državne institucije, kompanije, pa čak i pojedinci. Motivi su različiti: hakerski aktivizam (politički protest), ucena, uznemiravanje, privlačenje pažnje i ostvarivanje konkurentske prednosti (naročito u onlajn igricama).

Jedna od najpoznatijih meta DDoS napada je Sony Playstation. Iz kompanije kažu da se napadi dešavaju bukvalno svakoga dana. Nekada su većeg, a nekada manjeg obima. Takođe, i Microsoft Xbox je često bio na meti ovih hakera.

U Srbiji su najčešći napadi albanskih hakera na sajtove državnih i verskih institucija.

Albanski hakeri

DDoS napade je relativno lako izvesti, teško ih je sprečiti i generalno su veoma efikasni. Druge kompanije koje nisu direktna meta napada su ponekad kolateralna šteta. Kada je saobraćaj preopterećen, i drugi sajtovi koje je hostovao isti provajder mogu postati nedostupni.

Različite vrste DDoS napada

Većina DDoS napada su tzv. napadi na ICMP (ICMP floods), kada velika količina ping zahteva iz više izvora vrši istovremeni napad na jednu metu dok ne dođe do preopterećenja. Ovi napadi se često sprovode uz pomoć botova.

Najčešći DDoS napadi se mogu svrstati u neku od sledeće 3 kategorije:

  • Napadi velikog volumena - Tu spadaju različite metode kojima se guši saobraćaj i koje na kraju mogu dovesti do pada servera. U 2015. dominanti su bili ICMP napadi. Pored njih, tu je još i UDP i njemu slični napadi.
  • Protokol napadi - Ovi napadi mogu preopteretiti firewall i load balancere. Tu spadaju SYN floods, Ping of Death, Smurf DDoS itd.
  • Application layer napadi - Vrsta napada gde se šalje "legitimni" zahtev za obaranje servera. Koristi manje resursa od ostalih. U pitanju su DDoS napadi, Slowloris i napadi koji targetiraju poznate ranjivosti u Apache, OpenBSD i Windowsu.

Motivi napada

  • Hakerski aktivizam - Najpoznatija hakerska grupa koja se bavi hakerskim aktivizmom je Anonymous. Ova grupa je čak i uputila peticiju Beloj kući da se DDoS napadi legalizuju kao forma građanskog protesta. Smatraju da građanima treba da bude dozvoljeno da iskažu nezadovoljstvo tako što će na kratko usporiti saobraćaj ili oboriti određeni sajt umesto da se okupljaju i protestvuju lično. Česta meta ove grupe u poslednje vreme je Donald Tramp, a generalno iz raznoraznih razloga mete su im vlade brojnih država, kompanije i organizacije. DDoS napade izveli su protiv ISIS-a, protiv Turske zbog podrške ISIS-u, protiv S.Arabije, protiv PayPal-a kao vid podrške Džulijanu Asanžu. Hakerski aktivizam obično ima jasnu misiju, a to je uglavnom neka socijalna promena.

  • Iznuda - Hakeri zarađuju dosta novca tako što DDoS napadima određeni sajt postaje njihov talac i često se žrtve odlučuju da plate kako bi napadi prestali.

  • Diverzija - DDoS napadi se ponekad koriste i kako bi se skrenula pažnja. Dok je sajt pod udarom i dok se vodi borba za zaustavljanje napada, napadači koriste priliku ili da ubace malver ili da ukradu podatke.

  • Sticanje konkurentske prednosti - DDoS napadi su česti kod onlajn igrica i online nagradnih igara, gde nekoliko minuta zastoja može jednom takmičaru da osigura pobedu ili obezbedi prednost.

  • Zabava - Klinci koji misle da su ili žele da budu hakeri, napadaju manje sajtove iz čiste zabave. Oni nisu preterano vešti, ali ni ne moraju to da budu, jer mogu lako da dođu do skripti i da ih upotrebe protiv vas.

Koliko košta DDoS napad?

DDoS je za napadača veoma jeftin i pristupačan, od $10 do $1000 na dan, ali za kompaniju žrtvu može biti izuzetno skup. Prema nekim procenama, dok se napad dešava gubici kompanije mogu biti $40.000 po satu. Nefinansijski gubici takođe mogu biti veliki, a u njih spadaju: gubitak poverenja klijenata, gubitak intelektualnog vlasništva, infekcija malverom, zamena hardvera, kompromitovanje podataka i krađa informacija o klijentima.

Sad kad ste upoznali protivnika, na pola puta ste da dobijete bitku. Druga polovina bitke su plan odbrane i sama odbrana.

Kako pripremiti odbranu veb sajta od DDoS napada?

S obzirom da DDoS napad može skupo da košta vlasnika sajta i da meta može da bude svako - od države do pojedinca koji je zbog svojih stavova naljutio pogrešnu osobu - svako treba da spreman dočeka napadače.

  • Nemojte da mislite „Ma neće mene“, nego budite spremni. Čak i klinci koji žele da se hvale da su hakeri mogu da vam obore sajt iz čiste zabave.

  • Pripremite temeljan plan za slučaj napada ili se posavetujte sa firmom koja se bavi IT bezbednošću. Plan treba da uzme u obzir vašu infrastrukturu i procenu ranjivosti.

  • Idealno bi bilo da koristite neki servis za sprečavanje/ublažavanje posledica DDoS napada. Najveći broj provajdera ovih usluga nudi probni period od 7 dana, recimo Imperva Incapsula, ili CoudFlare koji osnovne usluge zaštite nudi besplatno.

  • Takođe, bezbednosni softver na vašem veb sajtu treba da ima opciju ublažavanja posledica napada, recimo Symantec Website Security ima tu opciju.

  • Kao preventivna mera, preporučuje se Web application Firewall (na primer Barracuda Web Application Firewall) koji razlikuje prave korisnike od botneta, blokira sumnjiv saobraćaj i štiti vas od DDoS napada.

  • Napravite pravilnik ponašanja u slučaju DDoS napada. On treba da sadrži imena i brojeve kontakata vašeg internet provajdera. Zatim, treba da znate šta ćete pitati vašeg provajdera i koje protokole koriste za slučaj DDoS napada.

  • Na kraju, treba vam dobra komunikaciona strategija kako biste obavestili klijente da je došlo do napada i smanjili negativne posledice po reputaciju kompanije.

Najveći broj DDoS napada traju između 6 i 24 sata. Od obima napada zavisi i da li ćete moći sami da se odbranite ili ćete morati da potražite profesionalnu pomoć.

DDoS napade malog obima moći ćete i sami da ublažite tako što ćete zaštiti server pomoću mod_evasive, mod_security i drugih funkcija koje nudi operativni sistem ili pomoću Web Application Firewalla).

U slučaju obimnijih DDoS napada, a to znači već od 5Mbps, morali biste da se obratite profesionalnim servisima za zaštitu od DDoS.

Šta možemo očekivati u budućnosti?

  • Internet of Things (IoT) će verovatno biti sve češća meta.
  • Nadzorne kamere (CCTV) su mnogo puta bile hakovane i korišćene kao botovi, očekuje se nastavak tog trenda.
  • Ruteri su takođe uobičajena meta, sada i u budućnosti.