Tento typ útoku, při kterém jsou servery oběti zahlceny a znepřístupněny ostatním uživatelům, přitom patří k nejagresivnějším formám kybernetické kriminality.
Proč jsou DDoS útoky (tzv. Distributed Denial of Service) tak nebezpečné?
Při nečekaném DDoS útoku jsou sítě nebo stránky zahlceny obrovským množstvím požadavků, které svým počtem a objemem přenášených dat zablokují přístup ostatním, skutečným uživatelům. Trvat mohou několik minut, ale i několik dní a firma je po dobu jejich trvání paralyzovaná.
Nejdelší DDoS útok roku 2018 trval 329 hodin, tedy bezmála 14 dní (Lupa.cz psala loni v březnu o největším DDOS útoku v historii). Oběti obvykle nezbývá nic jiného než bezmocně čekat, až útok skončí, a pak sečíst škody. V hledáčku se mohou ocitnout firemní webovky či rovnou celá síť včetně e-mailů, e-shopy, banky, sázkové kanceláře, informační portály, ale v bezpečí nejsou ani státní organizace, politické strany nebo univerzity.
Nefunkční servery a síť totiž znamenají nefunkční služby, zastavení prodeje, odliv zákazníků, finanční ztráty a často i pošramocení pověsti oběti (cílem útoku byla loni například společnost Rohlík.cz). DDoS útok navíc často slouží jako zástěrka pro infiltraci do serverů a systémů oběti, vydírání, krádež dat nebo finanční kriminalitu, což potvrzuje více než polovina napadených firem.
Shozený e-shop před Vánoci, ukradená data nebo přehlcený e-mail
O hackerských útocích se stále často mluví jako o kratochvíli znuděných ajťáků. To však dávno není realita. Za DDoS útoky stojí skupiny hackerů, které prostřednictvím škodlivého software ovládají obrovské sítě tisíců počítačů, takzvané botnety. Ty dokážou během několika okamžiků ochromit i ten nejvýkonnější server i účinně ostřelovat a odříznout firmu od světa třeba na několik týdnů.
Jenže hackerské skupiny své botnety dnes běžně pronajímají. Ukázala to i nedávná edukační kampaň O2 s fiktivní hackerskou skupinou Black Hats, která měla za cíl upozorňovat právě na nebezpečí DDoS útoků a možnost jejich objednávky za úplatu kýmkoliv.
Kdo si tedy btnet běžné pronajme?
Například firma, která chce nekalým způsobem DDoS útokem poškodit reputaci svého konkurenta. Nebo mu třeba sestřelit e-shop a snížit mu tím prodeje. Případně si DDoS útok objedná zhrzený zaměstnanec či uchazeč o práci, který se chce firmě takovým způsobem pomstít. Motivací může být i politický boj, hybridní válka mezi státy nebo již zmiňovaná kratochvíle. Holandská policie nedávno zatkla mladíka, který připravil DDoS útok na několik bank jenom proto, aby si vyzkoušel, že „to jde“.
Pro příklady ale nemusíme chodit za hranice, najdeme jich dost i doma. Třeba e-shop, který vyřadila z provozu konkurence v největší předvánoční špičce. Spolehlivě jej tak obrala o významné množství tržeb a odlákala zákazníky k sobě. Nebo malá okresní nemocnice, která přečkala několikahodinový DDoS útok, aby za pár dnů zjistila, že jí útočníci zároveň na servery nainstalovali vyděračský software a „zamkli“ citlivé údaje pacientů. Za jejich odemčení požadovali útočníci nemalou částku.
Útoku byla vystavena i paní, která pronajímá v lyžařském středisku malý apartmánový domek a vše řeší s klienty po e-mailu. Jedno ráno ve schránce našla tisíce e-mailů od naprosto neznámých a evidentně smyšlených odesílatelů. A tak zatímco klienti marně čekali na potvrzení své rezervace, paní se zoufale snažila mezi více než třiceti tisíci e-maily najít těch pár správných (O dalších útočích psala Lupa.cz zde).
Útok na objednávku již za pár desítek dolarů
Objednat si podobné útoky, jaké popisujeme výše, přitom není nijak drahá záležitost. Cena za hodinu asistovaného DDoS útoku se na černém trhu pohybuje v propočtu mezi 1 100 – 1 800 korunami. Vyřadit na týden z provozu servery třeba konkurenční cestovní kanceláře nebo e-shopu tak vyjde mnohem levněji než účinná reklamní kampaň.
Ještě levněji vyjde pronájem samoobslužného útočného webového portálu, samozřejmě včetně online podpory, a příprava útoku vlastními silami. Konfigurace je poměrně jednoduchá, stačí zaklikat základní parametry útoku, zadat adresu cíle a časy, kdy má proběhnout. Platí se většinou kryptoměnami přes tzv. nevystopovatelné účty. Právě dostupnost DDoS útoků výrazně zvyšuje riziko napadení nejen velkých, ale i středních a malých firem. Čím více počítačů současně „pálí“ na cíl, tím je útok razantnější a hůře se odhaluje.
Jak se bránit?
Pokud se ptáte, jak se takovým případům efektivně vyhnout, vězte, že to jde. Ale v momentě, kdy už zaznamenáte, že na vaši síť probíhá DDoS útok, je na obranu většinou pozdě. Ochranu firemní sítě je třeba řešit preventivně.
Účinnou obranou proti DDoS útoku je znemožnit útoku dosáhnout cíle, kterým je server oběti. Množství opakujících se požadavků může znamenat, že vaši síť zahltí provoz v objemu i několika gigabitů za vteřinu. To spolehlivě zahltí téměř jakýkoliv server. K odražení takového útoku je potřeba vysoce propustných datových linek a výkonných zařízení, které přenesou, zpracují, odfiltrují a přesměrují obrovská množství dat. Vzhledem k rozsahu útoků doposud používané metody ochrany (firewall, IPS nebo periferní hardwarové DDoS řešení) tento typ útoků nepokrývají.
Na trhu však existují produkty, které nabízí aktivní monitoring provozu v síti, klasifikaci útoku a jeho případnou eliminaci. Firma tak v reálném čase získá informace o probíhajícím útoku, kterého si v dané chvíli nemusí být vůbec vědoma a zároveň se může svobodně rozhodnout, jakým způsobem bude útoku čelit.
Jednou z takových služeb představila ve své výše zmíněné kampani právě O2 pod jménem O2 AntiDDoS. K dispozici je ve třech variantách. Se základním tarifem Basic, vhodným i pro malé firmy, se klient v případě, že dojde k útoku, může sám rozhodnout, zda útok chce odvrátit nebo ne. Další varianty přináší možnosti individualizace na základě potřeb zákazníků a tomu odpovídající škálu fakturačních modelů vhodných pro všechny typy společnosti.
Druhy DDoS útoků
Techniky DDoS útoků se neustále vyvíjejí a zdokonalují. Podívejme se pro představu, co všechno DDoS útoky dokážou a jak sofistikovaná musí být obrana.
Smrtelné pinkání
Je nejjednodušší ale přitom velmi účinnou formou DDoS útoku. Spočívá v zasílání záměrně poškozených požadavků na server. Zpracování velkého množství nesprávných požadavků vyvolává chyby v činnosti zpracujících programů na serveru a obvykle vede k jeho havárii.
Přeplnění paměti
Podstatou útoku je zasílání datových zpráv s délkou větší, než stanoví specifikace. Ty si server ukládá do paměti k dalšímu zpracování. Velké množství příliš dlouhých zpráv vede k přeplnění vyhrazeného paměťového prostoru, k přepsání sousedících oblastí a k naprosto nepředvídatelnému chování serveru.
Otevřená spojení
Útok zneužívá postupu navazování spojení se serverem. Počítač, který navazuje spojení, nejprve pošle serveru žádost. Server se na spojení připraví, vyčlení nezbytné prostředky a informuje o tom žadatele. Ten příjem informace potvrdí a spojení je navázáno. Útočník ale neuskuteční poslední krok, nepotvrdí navázání. Server tak čeká u otevřeného spojení ochuzen o připravené prostředky. Příliš mnoho současně otevřených spojení drasticky snižuje jeho výkon, prodlužuje odezvu a činí služby nedostupnými. Otevřená spojení mohou navíc být zneužita k průniku do serveru.
Přívaly
Jde o bombardování serveru přívalem žádostí o služby, které neposkytuje. Server musí na každou žádost předepsaným způsobem odpovědět, což jej zatěžuje a znemožňuje mu vykonávat to, k čemu je určen. Přívaly žádostí navíc vyvolávají obrovská datové toky, které dále snižují dostupnost serverů. Dnes přívaly tvoří zhruba 60 % všech DDoS útoků.
Útoky na webové servery
Většina útoků na web servery jsou v podstatě přívaly požadavků. Vzhledem k tomu, že vykonávání webových požadavků vyžaduje mnoho prostředků a výkonu serveru, stačí k dosažení úspěchu méně požadavků, útoky lze vést i po pomalejších linkách a cílit na menší podnikové servery nebo e-shopy.
