Jeżeli w nocy z 6 na 7 września próbowałeś zaczerpnąć nieco wiedzy z Wikipedii, prawdopodobnie przeżyłeś niemały szok. Wszystko wskazywało na to, że największa encyklopedia świata przestała działać! Tak po prostu, z dnia na dzień. Jak mogło do tego dojść? Dziś wiemy, że za całym zamieszaniem stał atak DDoS. Co kryje się za tą tajemniczą nazwą?

Wikipedia to obok przeglądarki Google’a jeden z największych internetowych absolutów – działa od lat, zwykle niezawodnie, dostarczając miliardom internautów cennej wiedzy na każdy niemal temat. Przyzwyczailiśmy się do tego, że encyklopedia multimedialna jest dostępna zawsze, o każdej porze i dla każdego. Tymczasem ten, kto o 3 w nocy z 6 na 7 września 2019 roku zajrzał na profil twitterowy Wikipedii, dowiedział się, że strona stała się celem cyberataku. Inni zachodzili w głowę, co dzieje się z ich oknem na świat wiedzy. Internetowa encyklopedia była niedostępna między innymi dla mieszkańców Niemiec, Wielkiej Brytanii, Włoch, Francji i oczywiście Polski. Niektórzy użytkownicy mieli problemy z dostępem jeszcze w sobotnie popołudnie! Sprawa była naprawdę poważna. Cóż zatem powinniśmy wiedzieć na temat ataków DDoS? I najważniejsze: w jaki sposób możemy się przed nimi uchronić?

Atak DDoS – co to jest?

Rozwinięciem skrótu DDoS jest distributed denial of service, czyli rozproszona odmowa usługi. Wbrew swojej tajemniczej nazwie, jest to dość popularna metoda ataków hakerskich skierowanych przeciwko systemom komputerowym lub usługom sieciowym. Celem ataku DDoS jest zajęcie absolutnie wszystkich zasobów strony, co prowadzi do zatoru uniemożliwiającego działanie całej usługi.

Ataki DDoS

Korzystając z nomenklatury wojskowej, atak DDoS porównać można do zmasowanego natarcia na pozycje wroga z wielu miejsc w tym samym czasie. Do przeprowadzenia takiego ataku wykorzystuje się z reguły komputery, nad którymi przejęto wcześniej kontrolę, wykorzystując boty i trojany. Zainfekowane urządzenia (tzw. botnety) są jak uśpieni agenci – czekają w gotowości na sygnał, który wywoła je do jednoczesnego ataku na wyznaczony system. Ofiara (komputer) zalewana jest oceanem fałszywych zapytań, co wymusza na niej wykorzystanie ogromnej ilości zasobów. Pamięć, pasmo sieciowe i czas procesora eksploatowane są ponad swoje możliwości, co w konsekwencji prowadzi do wyczerpania zasobów, a w końcu zawieszenia działania systemu. Wykorzystanie sieci botnetów sprawia, że odnalezienie źródła ataku DDoS jest praktycznie niewykonalne, a jego sprawcy pozostają w ukryciu.

Ataki DDoS bywają skuteczną bronią w rękach cyber-szantażystów, żądających okupu od firm, których byt uzależniony jest od nieprzerwanego działania systemu. Ofiarą tego typu ataków padają m.in. firmy brokerskie, sklepy internetowe lub serwisy aukcyjne, gdzie strata ofiary przekłada się również na stratę klienta.

Ataki typu DDoS stanowią dziś jedną z największych bolączek Internetu, a ich rozmach z roku na rok jest coraz bardziej imponujący. Choć incydenty trwają zwykle poniżej 30 minut, nadal rejestruje się przypadki ataków kilkudniowych. Ostatniego takiego doświadczyła na własnej „cyfrowej skórze” Wikipedia.

Ataki DDoS w Polsce

Do jednego z największych ataków DDoS w historii Rzeczpospolitej Polskiej doszło 19 czerwca 2018 roku. Ofiarą cyberprzestępstwa była firma ciesząca się renomą krajowego lidera usług hostingowych. W wyniku incydentu użytkownicy stracili możliwość korzystania ze swoich skrzynek e-mail. Administratorom systemów firmy udało się uporać z problemem dzięki wykorzystaniu narzędzi sieciowych wspartych technologią serwerów skracających czas odpowiedzi z serwerów DNS.

Atak z czerwca 2018 roku składał się z dwóch etapów: pierwszy trwał 30 minut, a drugi prawie 2 i pół godziny. Po głównym ataku o ogromnej skali system nadal najeżdżany był przez pojedyncze boty. Ruch na przeciążonych serwerach był nawet dwudziestokrotnie większy niż w godzinach szczytu! Funkcjonowanie serwisu było niemożliwe. Ratunkiem okazało się rozłożenie ruchu generowanego przez botnety na klastry serwerów, co umożliwiło szybsze skalowanie ich zasobów i rozdzielenie mocy między kilka serwerów.

Jeszcze wcześniej, bo 23 stycznia 2012 roku, ofiarą częściowego ataku DDoS padły polskie strony rządowe.

Jednym z elementów ochrony danych jest kontrola nad nimi – warto je zatem sprawdzać korzystając ze strony erif.pl. Możemy sprawdzić, czy nasze dane są w bazie i otrzymamy informacje o interesującej nas firmie: sprawdzimy jej stan finansowy, uwzględniający zarówno informacje negatywne, jak i informacje pozytywne. Polecamy również obszerny artykuł poświęcony ochronie danych firmowych przed potencjalnymi atakami DDos na stronie biura informacji gospodarczej ERIF: erif.pl/baza-wiedzy/atak-ddos-jak-ochronic-swoj-biznes-przed-stratami/.

Atak DDoS na stronę

Jak przekonaliśmy się niedawno na przykładzie poczciwej Wikipedii, ataki DDoS potrafią odciąć miliony użytkowników od dostępu do strony internetowej. Adres IP zbombardowany niemożliwą do ogarnięcia ilością ruchu przestaje działać, a razem z nim serwer WWW, na który wskazuje. Przeciążony router przestaje odpowiadać, uniemożliwiając dotarcie regularnego ruchu, a strona przestaje być dostępna.

Specjaliści podkreślają, że niezwykle istotna jest szybka identyfikacja ataków. Jeżeli właściciel w porę rozpozna rodzaj zagrożenia, będzie mógł bronić się przed atakiem DDoS. Te słowa skierowane są przede wszystkim do administratorów, którzy powinni dysponować rzetelną wiedzą na temat typowego profilu ruchu przepływającego przez konkretny serwer. Jeżeli ta specyfika jest im doskonale znana, są w stanie szybko wychwycić wszelkie anomalie. Kluczem jest dostrzeżenie nagłych skoków natężenia ruchu. Na szczęście dosyć łatwo je odróżnić od zwykłego natężenia ruchu na stronie. Większe przedsiębiorstwa powinny zatrudnić eksperta odpowiedzialnego za wszelkie działania w czasie ewentualnego ataku DDoS.

Atak DDos na router

Kolejną grupą przedsiębiorców, którzy szczególnie zagrożeni są atakami DDoS są operatorzy internetowi. Zmasowana ofensywa na routery skutkuje zapchanym łączem, utratą dostępu do urządzeń i… pretensjami ze strony słusznie zdenerwowanych klientów, którzy wymagają, bo przecież płacą. Co istotne, nawet mały atak DDoS może spowodować trudne do odrobienia straty.

Głównym celem cyberprzestępców są w tym przypadku lokalni operatorzy o wąskim spektrum działania. Są to niewielkie firmy, które zwykle nie mogą sobie pozwolić na zaawansowane systemy zabezpieczeń. Tymczasem klienci bez dostępu do internetu mogą zacząć rozglądać się za nowym providerem. Atak DDoS na router w sieci lokalnej powoduje absolutny paraliż całego ruchu w sieci LAN.

Atak DDos na serwer – jak reagować?

Ataki DDoS to przestępstwo ścigane z art. 267–269 i 287 Kodeksu Karnego, za które grozi kara pozbawienia wolności do lat 3. Jeżeli natomiast dojdzie do wyrządzenia znacznych szkód majątkowych, sprawca może zostać skazany nawet na 5 lat więzienia. Żeby ruszyć machinę prawa, pokrzywdzony powinien złożyć oficjalny wniosek w Komendzie Rejonowej Policji lub Prokuraturze Rejonowej.

Po pomoc można również zgłosić się do CERT Polska, instytucji zajmującej się zagrożeniami czyhającymi na sieci komputerowe. Po wypełnieniu formularza, który można znaleźć na oficjalnej stronie instytucji, ofiara cyberataku może liczyć na bezpłatne wsparcie. Jest to ruch o tyle rozsądny, że CERT Polska działa w kooperacji z policją.

Jak wiadomo, lepiej zapobiegać niż leczyć, dlatego osoba poszukująca dostawcy łączy lub serwera, powinna się rozglądać za takim, który bazuje na infrastrukturze chronionej przed atakami DDoS. Niestety, nawet najlepszy firewall czy IPS (Intrusion Prevention System) będą w tym przypadku nieskuteczne. Atak musi zostać wykryty już w sekundę po wykryciu nieprawidłowości w ruchu przychodzącym. Jedynie zaawansowany system jest w stanie odpowiedzieć na atak reakcją współmierną do jego rodzaju i stopnia nasilenia. Spośród takich działań wyróżnić możemy m.in.:

  • nałożenie filtrów chroniących łącze klienta
  • przekierowanie ruchu na łącze, którym nie napływają zapytania z fałszywych serwerów
  • zablokowanie feralnych pakietów na odległych routerach

Działania prewencyjne powinny zakładać:

  • optymalizację strony www, aby nie pobierała zbyt wielkiej ilości zasobów z serwera
  • rozdzielenie usługi w taki sposób, by np. poczta nie znajdowała się na tym samym serwerze, co strona,
    skalowanie łącza
  • monitorowanie dostępności serwisów poprzez WebPing

Tego typu zabezpieczenia zapewnią nam wyłącznie profesjonalni, sprawdzeni usługodawcy. Warto również wykazać się inicjatywą, dokonując audytu systemów bezpieczeństwa strony, dzięki któremu będziemy w stanie wykryć wszelkie anomalie. Dziś każdy przedsiębiorca przechowujący dane swoich klientów zobowiązany jest wprowadzać i regularnie testować rozwiązania strzegące bezpieczeństwa danych.

Pamiętajmy, że ataki DDoS wiążą się z wieloma stratami, o których mówiliśmy już wcześniej. Przypomnijmy jednak te najważniejsze i usystematyzujmy je. Firma, której usługi internetowe przestały działać za sprawą cyberataku, musi się liczyć utratą dostępu do krytycznych danych, przerwą w sprzedaży, poważnymi stratami wizerunkowymi, spadkiem możliwości biznesowych, kryzysem zaufania ze strony klientów i partnerów biznesowych, a także większymi kosztami ubezpieczenia. Nie straszymy – przedstawiamy jedynie trzeźwy obraz sytuacji i kilka rozwiązań, dzięki którym nasi czytelnicy będą mogli ustrzec się skutków ataku DDoS.

(!) Zgłoś błąd na stronie
Pomogłem? To może postawisz mi wirtualną kawę?
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Gościnny artykuł sponsorowany