DDoS (з англ. Distributed Denial of Service Attack) – це атака, мета якої викликати відмову в обслуговуванні на боці сервера (електронного ресурсу), іншими словами перенавантажити і зробити його недоступним. Виконується шляхом відправки величезної кількості хаотичних шкідливих запитів з різних IP-адрес, використовуючи вразливості та недоліки безпеки.
У висновку, трафік і навантаження постійно зростають, а ресурси і ліміти пропускної здатності вичерпуються. Сервер, не взмозі обробити велику кількість запитів одночасно, віддає код відповіді 5xx – відмова в обслуговуванні. Різниця DDOS і DOS полягає у тому, що DOS-атака виконується з одного джерела.
За характером застосування розрізняють наступні види DDOS-атак:
- Переповнення інтернет-каналу – відправка великої кількості шкідливих HTTP-запитів, це відбувається протягом тривалого часу й таким чином вичерпується пропускна здатність каналу сервера, ліміт вхідного трафіку, допустимого хостинг-провайдером, закінчується і після цього сервер автоматично блокується, або переходить на тарифікацію за кожен додатковий мегабайт трафіку.
- Навантаження на ресурси сервера – зловмисник виявляє слабкі місця електронного ресурсу та б’є по них – спрямує у це місце велику кількість нелогічних запитів. Це можуть бути поля пошуку на сайти, різні форми відправки даних та інші елементи, які є незахищеними. У висновку, якщо сервер слабкий, не налаштований і слабо захищений, він дає збій та падає.
- Експлуатація вразливостей і помилок в коді – зловмисник локалізує проблемну ділянку у коді та проводить втручання у її будову. Таким чином, він виводить з ладу сервер або електронний ресурс. Фактично, зламує його.
За рівнем мережевої моделі OSI розрізняють наступні DDOS-атаки:
- DDOS-атаки прикладного рівня (L7) – надсилання великої кількості одночасних запитів по протоколу HTTP.
- DDOS-атаки рівня представлення (L6) – надсилання великої кількості запитів по протоколу SSL.
- DDOS-атаки сеансового рівня (L5) – створення великої кількості сміттєвих сеансів по протоколу Telnet.
- DDOS-атаки транспортного рівня (L4) – заповнення TCP/UDP-протоколів передачі даних сміттєвим трафіком (SYN-флуд).
- DDOS-атаки мережевого рівня (L3) – вичерпування мережевого трафіку флудом (ICMP-флуд), зниження пропускної здатності.
- DDOS-атаки канального рівня (L2) – переповнення пакетами даних комутаторів і концентраторів (MAC-флуд), які використовуються для передачі даних.
Наслідки DDOS-атак:
- Недоступність ресурсу – сервер не витримує навантажень і відмовляє в обслуговуванні – ресурс стає недоступним для користувачів і відідувачів в інтернеті. Усі серверні служби і компоненти теж стають паралізованими до тих пір, поки атака не зупиниться. Це суттєво ускладнює адміністрування ресурсу.
- Виведення з ладу, витік або втрата даних – потужні DDOS-атаки можуть спричинити повне або часткове пошкодження серверних компонентів та втрату даних. Не рідко, під виглядом DDOS може відбуватися ряд інших атак з експлуатацією вразливостей, що в кінцевому випадку приводить до зламу сервера та витоку конфіденційних даних. Щоб відновити і повернути ресурс до попереднього стану необхідні чималі додаткові витрати на відновлення і обслуговування.
- Зменшення довіри, падіння рейтингу і репутації – недоступність ресурсу спричиняє велику кількість відмов для ваших відвідувачів, потенційних клієнтів і партнерів, пошукових систем. В результаті ви несете репутаційні та фінансові збитки. Довіра до вашого бізнесу зменшується.
Будь-якій DOS/DDOS-атаці, зазвичай, передує розвідка з відкритих джерел Open Source Intelligence (OSINT) – зловмисник вивчає межі електронного периметру, здійснює сканування усіх вузлів/портів, шукає “входи і виходи”, перевіряє фронтенд і бекенд частини, переглядає вихідний код, здійснює енумерацію компонентів, баз даних, облікових записів, виявляє помилки та недоліки безпеки, накопичує вичерпні відомості про ресурс та систематизує їх по різним базам, зокрема по базам вразливостей і експлойтів: CVE/CWE/ExploitDB.
Електронні ресурси, які не адмініструються і не оновлюються, не відконфігуровані і не оптимізовані належним чином, по відношенню до яких жодного разу не проводився аудит безпеки – майже на 100% є вразливими до DDoS-атак. Про це важливо знати та пам’ятати. Зазвичай, DDOS проводиться з певною метою: кібервійна, недобросовісна конкуренція, конфлікти в бізнесі, помста, шантаж і т.д.
Спеціалісти KR. Laboratories навчилися відбивати DDOS-атаки будь-якого типу на всіх рівнях мережевої OSI-моделі, зокрема: L3 (мережевий рівень), L4 (транспортний рівень), L7 (прикладний рівень). У цьому нам допомагають як власні розробки так і інструменти від різних постачальників, а також перевірені рішення: Web Application Firewall (WAF), Next Generation Firewall (NGFW), Data Loss/Leak Prevention (DLP), Security Information and Event Manangement (SIEM), Intrusion Detection System (IDS) та Intrusion Prevention Systyem (IPS). Пропонуємо нижче ознайомитися з повним переліком наших послуг.