Что такое DDOS-атака и как она может повредить сайтам или играм

Ваша любимая видеоигра станет недоступной во время DDoS-атаки, но что это означает?

Если вы были в интернете в последние несколько лет, то наверняка слышали о сервисах, которые становились недоступными во время DDoS-атак. Внезапно ваш любимый сайт или видеоигра становятся недосягаемы, поскольку кто-то «ддосит» их.

Хотя термин DDoS кажется загадочным, это часть общепринятого лексикона интернета. Если вы не уверены, что такое DDoS-атака и как она может повредить сайтам и видеоиграм, читайте дальше.

Что такое DDoS-атака

DDoS означает Distributed Denial of Service, распределённый отказ в обслуживании. Так называются атаки, которые переполняют сервисы запросами и они выходят из строя.

Когда вы слышите, что сайт или игру захватили хакеры, часто это означает именно DDoS-атаки. Атакующие выбирают определённый сайт, сервис или видеоигру, и наполняют сервер запросами данных. Количество запросов очень быстро может превысить возможности инфраструктуры и серверы выходят из строя.

Часто DDoS-атаки называют ддосинг.

Как работает DDoS-атака?

Во время DDoS-атаки данные необязательно представляют собой множество крупных файлов, которые запрашивают для скачивания. Часто используется прямо противоположный метод, когда тысячи компьютеров одновременно запрашивают небольшие данные. Хотя каждый запрос сам по себе маленький, количество запросов от тысяч компьютеров усиливает эффект.

Кто управляет тысячами компьютеров, чтобы они могли одновременно посылать запросы на один сервер?

Обычно DDoS-атаки проводят крупные ботнеты. Это группа взломанных компьютеров под управлением хакеров. Атакующие могут указать ботнету цель и заполнить сайты или серверы игры запросами, с которыми они не справятся.

Направление огромного объёма трафика на серверы жертв не позволяет обычным посетителям получать доступ к сайту или видеоигре и приводит к отказу в обслуживании. Поскольку трафик идёт из разных источников, это означает распределённую атаку, поэтому она и называется распределённым отказом в обслуживании.

В любое время может проводиться множество DDoS-атак в разных точках мира. Вы можете услышать о выходе из строя крупных сервисов в новостях, а при желании можно воспользоваться картой Digital Attack Map, чтобы точно узнать, что происходит.

Как и в случае с большинством видов кибератак, есть много разных типов DDoS-атак. DDoS является общим термином, но возможны разные варианты.

Атаки на уровне приложений

DDoS-атаки на уровне приложений используют одновременные запросы к веб-сайтам. Например, хакер может сделать тысячи запросов на скачивание определённых файлов, чтобы работа сервера максимально замедлилась.

Такие запросы почти невозможно отличить от запросов обычных пользователей, что затрудняет противостояние DDoS-атакам на уровне приложений.

Подобные атаки обычно нацелены на распределённый трафик HTTP. В частности, широко распространён вид атаки HTTP Flood, когда злоумышленник максимально быстро создаёт максимально возможное число запросов HTTP. Это всё равно что тысячи раз в секунду нажимать на кнопку обновления страницы тысяч браузеров.

Протокольная атака

Протокольная DDoS-атака нацелена на сеть жертвы, расходуя ресурсы сервера. Например, может быть перегружен файрвол или балансировщик нагрузки, в результате чего работа прекращается.

В качестве примера можно назвать SYN Flood DDoS-атаку. Когда вы делаете запрос в интернете, происходят три вещи. Во-первых, это запрос данных (SYN, Synchronization). Во-вторых, ответ на запрос данных (ACK, Acknowledgement). Наконец, SYN-ACK означает подтверждение прибытия данных со стороны того, который запрашивал. Всё это происходит в мгновение ока.

SYN Flood отправляет множество фальшивых пакетов SYN с фальшивых IP-адресов. ACK реагирует на фальшивые адреса, которые никогда не отвечают. Запросы накапливаются и приводят к отказу в доступе к сервису.

Объёмные атаки

Объёмные DDoS-атаки по своему принципу напоминают атаки на уровне приложений, наводняя серверы запросами. При этом модификатор может усилить количество одновременных запросов.

DNS Amplification является одним из наиболее распространённых видов DDoS-атак и примером объёмной атаки. Когда атакующий делает запрос к серверу, он включает ложный адрес, часто IP-адрес самой цели. Каждый запрос возвращается на IP-адрес цели и увеличивает количество запросов.

Зачем нужны DDoS-атаки?

Есть много причин использовать DDoS-атаки, вроде желания нанести финансовый ущерб жертве.

• Срыв работы сервера. В основе DDoS-атаки лежит вывод из строя сервиса. Если наводнить серверы запросами, обычные пользователи не смогут получить к нему доступ. В некоторых случаях DDoS-атаки применяются для вывода из строя сайтов конкурентов, чтобы пользователи переходили на сервисы атакующих.
• Хактивизм и политика. Некоторые группы хактивистов, такие как Anonymous, известны использованием DDoS-атак для вывода своих целей из интернета на длительные промежутки времени. DDoS-атака может стоить бизнесу или организации значительную сумму денег из-за простоя и расходов на восстановление. Атаками на сайты правительственных учреждений пытаются выразить протест или добиться каких-либо действий.
• Сокрытие более крупных атак. DDoS-атака может прикрывать другую атаку, чтобы команда киберреагирования не могла принять мер. Реальная атака происходит где-то в другом месте. Есть многочисленные примеры криминальной активности с применением технологии отвлечения через DDoS-атаки.
• Исследование, тестирование, хулиганство. Иногда DDoS-атаки происходят только потому, что кто-то где-то тестирует новые методы или скрипты и они не срабатывают или наоборот срабатывают хорошо.

Это только четыре причины использования DDoS-атак против сайтов и серверов видеоигр. В реальности их намного больше.

DDoS-атаки противозаконны?

Да. DDoS-атака подпадает под действие закона о компьютерном мошенничестве и злоупотреблении США, закона о неправомерном использовании компьютеров Великобритании и может привести к тюремному заключению сроком до 10 лет в Канаде.

Законы и трактовки в разных странах разные, но в большинстве есть органы правопорядка в сфере кибербезопасности и компьютерных злоупотреблений. Они определяют DDoS-атаки как противозаконную деятельность.

DDoS как сервис

Вы могли слышать определение «Программное обеспечение как сервис» (Software-as-a-Service, SaaS) и «Инфраструктура как сервис» (Infrastructure-as-a-Service, IaaS), а ещё есть понятие DDoSaaS, «DDoS как сервис». Такие комплекты и платформы доступны в глубоком интернете на хакерских форумах.

Вместо траты времени на создание ботнета можно заплатить владельцу существующего ботнета и указать сеть, которую нужно атаковать. Такие сервисы обычно называются стрессор, поскольку их можно использовать для стресс-тестирования вашей сети против теоретических атак.

Без проверки клиентов и без подтверждения принадлежности сервера подобные платформы DDoSaaS открыты для разных злоупотреблений.

Примеры DDoS-атак

Напоследок мы назовём значительные примеры DDoS-атак за последние несколько лет. Отчёт Neustar об угрозах и трендах за первые два квартала 2020 года показывает, что количество атак со стабильной продолжительной нагрузкой данных более 100 Гбит/с за 12 месяцев выросло на 250%.

Следующий список показывает различные размеры DDoS-атак и как эти размеры росли в последние годы.

1. Сентябрь 2016. Только что открытый ботнет Mirai атаковал сайт журналиста по информационной безопасности Брайана Кребса трафиком 620 Гбит/с. В итоге атака была остановлена защитой Akamai DDoS. Этот ботнет задействует устройства интернета вещей для расширения своих возможностей.
2. Сентябрь 2016. Этот же ботнет атаковал французский веб-хостинг OVH трафиком около 1 Тбит/с.
3. Октябрь 2016. Огромная атака привела к выходу из строя многих интернет-сервисов США на восточном побережье. Атака была нацелена на провайдера DNS Dyn, объём трафика составил 1,2 Тбит/с. Временно не работали сайты и сервисы Airbnb, Amazon, Fox News, GitHub, Netflix, PayPal, Twitter, Visa, Xbox Live.
4. Ноябрь 2016. Mirai ударил по провайдерам и мобильным сервисам в Либерии, отключив большинство каналов связи в этой африканской стране.
5. Март 2018. GitHub пострадал от крупнейшей атаки того времени, стабильный объём трафика составил 1,35 Тбит/с.
6. Март 2018. Компания сетевой безопасности Arbor Networks заявила, что система мониторинга глобального трафика и DDoS-атак ATLAS зафиксировала объём 1,7 Тбит/с.
7. Февраль 2020. Amazon Web Services (AWS) пострадали от атаки трафика 2,3 Тбит/с, хотя цель атаки не было названа.

На самом деле DDoS-атак было намного больше и они никуда не денутся, их количество и объём трафика только растут. DDoS-атаки продолжают бить по серверам видеоигр, сайтам и сервисам.

Об авторе