#DDoSадно
Последнава недела, IT.mk, како и други македонски популарни сајтови и системи (засега јавно се произнесоа од KlikniJadi.mk) се соочуваат со DDoS напади. Со цел појаснување на овој сајбер напад на пошироката јавност, како и споделување на нашето искуство со митигација на DDoS нападот – го започнуваме овој серијал од текстови.DDoS или Distributed Denial-of-service (превод: Дистрибуирано одбивање на пристап) се тип на сајбер напади преку кои практично имаат цел да ја онеспособат мрежната инфраструктура, на начин што таргетираниот сајт, систем или сервер да бидат преплавни со барања со што не би можеле да извршат нормални функции, односно нема да бидат воопшто достапни за корисниците, ќе бидат успорени или пак дел од клучните сервиси нема да им функционираат. Нападите се прилично ефикасни, особено ако не е поставен никаков сервис за заштита или митигација, а се извршуваат преку компромитирани системи и уреди.
Најпластичен пример за како би изгледал еден DDoS напад може да се илустрира со сликава објавена од CloudFlare, во која сината лента и возила се нормалниот сообраќај (регуларните корисници), а црвените се компромитираните уреди (ботнет). Ако целта е возилата да се движат по правиот пат, кога истиот е преплавен од компромитирани возила, регуларните возила немаат можност да се приклучат на патот и мора да чекаат да заврши сообраќајот составен од компромитираните уреди:
Ако горнава илустрација сепак не ви е доволна за да разберете што е DDoS напад, кликнете тука.
DoS vs. DDoS
DoS (Distributed denial of service) е напад кој цели кон оневозможување на услугата каде што еден компјутер се користи за преплавување на серверот со TCP и UDP пакети, односно систем-на-систем концепт на напад. DDoS од друга страна е напад каде што повеќе системи таргетираат еден систем со DoS напад, односно системи-на-систем.
Справувањето со DoS, кои најчесто доаѓаат од едно место е многу полесно за детекција и митигација, додека DDoS бара посериозна детекција и работа.
Сите DDoS напади се DoS напади, но не сите DoS напади се DDoS.
Како се одвива еден DDoS напад?
DDoS нападите се вршат со мрежи на машини поврзани онлајн, кои како што рековме се составени од компјутери и други уреди кои биле заразени со малициозен софтвер, што овозможува далечинско контролирање од напаѓач на самиот уред. Овие поединечни уреди се нарекуваат ботови или зомби.
Компромитираните уреди може да бидат компјутери, мрежни ресурси (вклучително и firewall-и), па дури и паметни фрижидери, клима уреди или било кој уред приклучен на интернет на кои е инсталиран злонамерен код. Експлоатираните уреди најчесто се поврзуваат меѓусебно во мрежа, т.н. роботска мрежа, или попопуларно ботнет (robot network), со цел да може да се контролираат полесно и од страна на индивидуален сервис. Контролерот на ботнетот всушност на сите уреди од ботнет мрежа им задава URL/URI или IP адреса и ги насочува сите уреди да пристапат до тој сајт, што повеќе компромитирани и појаки уреди, толку помоќен е ботнетот, а со тоа и DDoS нападот.
Бидејќи секој бот е легитимен интернет уред, одвојувањето на злонамерниот сообраќај од нормалниот сообраќај може да биде тешка задача.
Како се препознава DDoS напад?
Најочигледен симптом на DDoS напад e моментот кога еден сајт одеднаш ќе стане бавен или недостапен. Иако ова може да значи и дека постои хардверски проблем, преголем регуларен сообраќај и еден куп други валидни причини надвор од DDoS напад, сепак е меѓу првите симптоми за детекција. Прв чекор што треба да се погледне сообраќајот кој пристапува до сајтот и неговите ресурси, а ако има значителен сообраќај итно реба да се анализира изворот на сообраќајот и она што е симптоматично за ваков напад се:
- Сомнителни количини на сообраќај што потекнуваат од една ИП адреса или опсег,
- Преплавување на сообраќај од корисници кои споделуваат еден ист патерн на однесување, како што се тип на уред, геолокација или верзија на веб-прелистувач,
- Необјаснет пораст на барања до една страница или крајна точка,
- Чудни патерни во сообраќајот како на пример процентуално ист скок на одреден временски интервал,
- Анализа на барањата, хедерите и user-agents како и други понапредни тактики за детекција.
Зависно од тоа што таргетира DDoS нападот, на која инфраструктурна точка напаѓа и како се однесува, се декларираат повеќе разни видови на DDoS напади, кои претежно го следат мрежниот OSI модел за поврзување по леери:
Моментални трендови на DDoS напади
Во 2022, извештаите на Cloudflare и Incapsula, едни од клучните онлајн играчи во полето на DDoS митигација, сведочат за едни од најголемите DDoS напади што онлајн светот некогаш ги видел, вклучително и HTTPS напади со 26 милиони барања во секунда. Понатаму, војната во Украина ги зачести DDoS како едни од најкористените напади за спречување на пристап до клучни системи, медиуми и сајтови и во Украина и во Русија. Според извештаите, најтаргетираните индустрии со DDoS напади во Украина изминатиов квартал биле медиумите – интернет порталите како и сајтовите на традиционалните медиуми и нивните интерни системи, а во Русија сајтовите и системите на банките, финансиските институции и осигурителните компании, па дури тогаш медиумите.
Други клучни трендови од извештаите за 2022 на Cloudflare и Incapsula:
- Во 2022, DDoS нападите на апликативно ниво L7 се зголемиле за 72% споредбено со 2021,
- Најтаргетирани се организации во САД, па Кипар, Хонк Конг и Кина.
- Глобално најтаргетирана индустрија во Q2, 2022 година е авиоиндустријата, па интернет, финансиската и гејминг / онлајн обложување.
- Нападите на мрежно L3 ниво се зголемиле за 109% споредбено со 2021. Со овој тип на напади најчесто се соочуват секторите телекомуникации, гејминг/онлајн обложување и ИТ индустријата.
Најнов тренд во DDoS полето се таканаречените Ransom DDoS напади – кои се обидуваат да изнудат пари, во спротивно го таргетираат сајтот со континуирани напади.
Со таков тип на напад се соочи и IT.mk, започнувајќи од 09.30 часот во понеделникот, 4-ти јули, кога забележавме успорување на сајтот (првиот знак за детекција) и по кратка проверка на ресурсите на серверите во кој првично се посомневавме, забележавме зголемен и чуден сообраќај на сајтот.
Ова е трет таргетиран DDoS напад на IT.mk изминативе 2 години, и додека првите два траеа само неколку часа, сегашниот напад трае веќе 4 дена и е првиот во кој имаше обид за изнуда на пари. Конкретно, ни беа побарани 0.025 BTC:
Кои секако дека не ги плативме (ниту имаме намера), а на хакерот му доставивме контра понуда за интервју во кое сакавме да позборуваме зошто и како го прави ова и која е целта, како и да ја зголемиме свесноста за овој тип на напади кои може да имаат сериозни последици – понудата за жал, хакерот не ја прифати, но нападите продолжија и следните 4 дена – со тоа што најновиот беше пред неколку саата.
Она што пристигна до нас како информација е и дека други македонски сајтови и институции се соочуваат со DDoS напади изминативе неколку дена, а тоа го потврди и КликниЈади.мк со официјална изјава пред некој час. (Ги охрабруваме сајтовите кои се жртви на DDoS да ни пишат на [email protected])
За тоа што научивме, активностите што ги преземавме и како се справивме и ги митигравме досегашните напади ќе пишеме во останатите текстови од серијалов…
Во меѓувреме, прочитајте повеќе за инциденти поврзани со DDoS напади на следниов линк.
Во случај да не чита тој што не DDoS-ира: Пиши ни на [email protected], во DM на Twitter или каде и да сакаш… би сакале да позборуваме на темава. :)