Як розвивалися DDoS-атаки протягом останніх 20 років

Цей рік позначив важливий етап у розвитку DDoS-атак, коли не одна, а дві атаки перевищили поріг пропускної знатності мережі у 1 Тбіт/с.

В кінці лютого атаки на один з найбільших сервісів для спільної розробки програмного забезпечення – Github – та на неназваного провайдера онлайн-ігор перевалили за 1 Тбіт/с. Раніше такого ніколи не траплялося, повідомляє Arbor Networks.

Як і у випадках з іншими сучасними DDoS-атаками, такі випадки стали можливими через вразливі пристрої, підключені до Інтернету, зокрема, сервери, що працюють через сервіси розподіленої пам'яті, відомі як memcached. У результаті цих атак Github був недоступний близько 10 хвилин, проте невідомо які наслідки це мало для ігрового провайдера.

Хоча пропускна спроможність, що обробляється під час атаки, не може точно свідчити, що такий напад важко зупинити, тенденція до збільшення обсягу підкреслює загострення загрози, спричиненої DDoS-атаками. Більшість компаній мають власні інтернет-інфраструктури, що здатні обробляти потоки даних, загальним обсягом від 10 до 50 Гбіт/с, що набагато менше, ніж терабіт даних.

«Останні DDoS атаки – вже просто перебір, — прокоментував Роланд Доббінс, головний інженер Netscout в Arbor Networks, — це якби для вбивства мухи використовували ядерну зброю».

DDoS-атаки значно розвинулися за останні 25 років, починаючи від аматорських спроб групи протестантів до бот-мереж з підключених пристроїв й закінчуючи автоматичними атаками, що використовують уразливості серверних протоколів.

Усе почалось з атак на багатокористувацькі системи, а потім — на сервери. Пізніше для нападів почали використовувати робочі станції та домашні комп'ютери. А тепер зловмисники віддають перевагу використанню незахищених пристроїв IoT для розповсюдження чи посилення й відзеркалення атаки за допомогою вразливого мережевого протоколу.

«Зловмисники скористаються будь-якою технологією, що сприятиме відзеркаленню чи посиленню атаки, — сказав Джош Шаул, віце-президент веб-безпеки в Akamai, — люди продовжують користуватися серверами, й атаки Memcached зосереджені саме на серверах. Протягом останніх трьох років ми повернулися до розподілених пристроїв, й стали свідками того, як зловмисники використовують підключення до Інтернету проти нас».

Тепер трохи детальніше про ключові моменти у розвитку DDoS-атак.

Найперші DoS-атаки були направлені на прогалини у безпеці операційних систем

Перші згадки про потенційні DDoS атаки переважно анекдотичні. Якщо вірити найвідомішій байці, учень середньої школи зміг використати ранню систему мейнфреймів, відому як PLATO, для запуску атаки в невеликій мережі терміналів у 1974 році.

Він використав команду PLATO, ext, щоб інші термінали, підключені до мейнфрейма, намагалися під'єднатися до відсутнього зовнішнього пристрою. Ця команда призвела до падіння системи, а 31 користувача просто від'єднало.

Проте, як видається, події в історії відстають від реальності принаймні на рік, оскільки системний адміністратор PLATO виправив вразливість команди ext протягом перших двох днів 1974 року.

На початку 1980-х дослідники Xerox PARC Джон Шох та Джон Гуппв створили програму, яка автоматично поширюється від системи до системи й нарекли її «хробаком». Цей комп'ютерний хробак скопіював себе у кожну систему, що була під'єднана до дослідницької мережі, й через помилку швидко вивів з ладу кожну машину.

1995: Активісти використовують DDoS атаки у якості протесту

Наприкінці 1990-х групи активістів почали масово перенавантажувати систему та блокувати доступ до веб-сайтів у якості протесту. Першими це зробили Strano Network – група однодумців, які протестувати проти ядерної політики французького уряду.

Замість того, щоб використовувати програму для повторного підключення до веб-сайту, Strano Network зробив так, що учасники та відвідувачі постійно перезавантажувати цільові сайти.

1995: FloodNet та самостійно встановлений DDoS- бот

Через кілька років після Strano Network, інша група художників-перформансистів та протестувальників – The Electronic Disturbance Theatre – розробила інструмент FloodNet, який вони завантажували та запускали на власних комп'ютерах. Інструмент використовував список уразливих місць, що потрібно було атакувати на конкретних веб-сайтах.

Вперше цей інструмент використали на підтримку Сапатиської армії в Мексиці, що виступала проти уряду в 1998 році, а потім для атаки на Всесвітню організацію торгівлі в 1999 році.

1998: Перебої у роботі через Smurf атаки

Перші серйозні атаки з посиленням і відзеркаленням також з'явилися в 1998 році, коли онлайн-зловмисники використовували вміння змушувати інші сервери «пінгувати» ціль за допомогою ICMP протоколу. Прославившись як Smurf-атаки, ці величезні потоки були доволі простим, але ефективним методом. Надсилаючи підроблену адресу джерела в пакеті, зловмисник відзеркалював трафік до цілі й приховував справжнє джерело атаки. Використовуючи широкомовну адресу мережі, зловмисник отримував можливість збільшити кількість пакетів у 255 раз.

Цю атаку спрямували проти Університету штату Міннесота у березні 1998 року, що призвело до значних перебоїв у роботі сайту.

1999: Trinoo і перші серверні бот-мережі

Університетові штату Міннесота дісталося й наступного року. У серпні 1999 року його атакували програмою Trinoo bot, яка була встановлена на принаймні 227 зламаних серверах Solaris.

«Повертаючись назад, історія DDoS почалася з використанням шкідливого програмного забезпечення, яке вражало домашні комп'ютери, а потім використовувало їх для зараження інших, — сказав представник Акамай, — але у людей не було такої кількості пропускної спроможності, тому ми перейшли від використання робочих та домашніх комп'ютерів до використання серверів».

Саме з Trinoo почалося використання зламу серверів для DoS атак. Популярна програма Stacheldraht («колючий дріт» німецькою), авторства хакера на ім'я Mixter, також часто застосовувалася, щоб атакувати різні сайти. А Tribe Flood Network, яка подібна до Trinoo, використали для зламу сайтів таких гігантів індустрії, як Amazon, CNN і Yahoo!

2000: Для DoS все частіше використовують службу доменних імен

Пакети служб доменних імен (DNS) часто використовуються зловмисниками як корисне навантаження під час DoS атак. Але, починаючи з 2000 року, Координаційний центр Комп'ютерної групи реагування на надзвичайні ситуації (CERT) застерігав, що дедалі більша кількість атак використовує DNS-сервери для збільшення пропускної здатності.

Проте загалом компанії не зважали на це. Шість років потому, у рекомендаціях CERT США зазначалося, що від 75 до 80 відсотків серверів все ще дозволяють рекурсію – здатність DNS-сервера підсилювати атаки.

2003: Швидке розповсюдження комп'ютерних хробаків, що були направлені на прогалини у безпеці Windows

Перше десятиріччя 21-го століття стало часом розквіту комп'ютерного хробака. Такі програми, як Code Red, Nimda та Blaster, успішно заражали мережі й отримали перемогу у номінації «найбільший головний біль системного адміністратора».

Ці само-розповсюджувані програми змусили сам Майкрософт змінити курс з розвитку нових функцій Windows, на покращення безпеки операційної системи.

У 2003 році світ зіткнувся із першим флеш-хробаком, 376-байтним MS SQL Slammer, який перевищував пропускну здатність локальної мережі протягом 3 хвилин й так швидко поширювався, що кількість заражених їм систем подвоювалась кожні 8,5 секунди.

Через п'ять хвилин після того, як він почав розповсюджуватись, хробак Slammer досягнув 80 мільйонів пакетів в секунду, й після нього атак такого масштабу не спостерігалося принаймні років з 10.

2009: Застосування хробака MyDoom проти сайтів уряду США та Південної Кореї

У 2009 році приблизно 50 тисяч комп'ютерів були заражені хробаком MyDoom. Зловмисники використали його проти вебсайтів урядових, фінансових та комерційних організацій США та урядових сайтів Південної Кореї.

Атака з максимальною на той час пропускною здатністю у 13 Гбіт/с змогла лише ненадовго вивести їх з ладу, але дала політикам підставу звинувачувати у нападі Північну Корею.

Це трапилося через п'ять років після того, як різні варіації хробака MyDoom були використані для DDoS атаки на SCO Group, яка стверджувала, що саме їй належала операційна система Linux. Microsoft також потрапила під гарячу руку.

Ця атака продемонструвала ефективність використання великої кількості комп'ютерів, що користуються операційною системою проти веб-сайтів та мереж.

2016 рік: Прогалини у безпеці пристроїв інтернету речей використовуються для посилення

За даними фірми Imperva, у вересні та жовтні 2016 року майже 50 тисяч під'єднаних до Інтернету пристроїв в 164 країнах буквально затопили сайти трафіком аж у 280 Гбіт/с. Для цієї DDoS атаки в основному використовувалися цифрові відеокамери та реєстратори для передачі відносно складного трафіку в мережі сайтів.

Результатом нападу на веб-сайт дослідника безпеки й журналіста Брайана Кребса та постачальника послуг інфраструктури DynDNS досягли 620 Гбіт/сек, повідомляє Akamai.

Хоча максимальна пропускна здатність перевищила попередні, той факт, що кількість пакетів в секунду перевищила 100 Мбіт/с, спричинив більші проблеми для захисників, — зазначив Офер Гайер, старший менеджер з продуктів безпеки компанії Imperva.

«Це одна з проблем, з якими стикаються компанії, — сказав він, — додавання більшої пропускної здатності у мережу — найлегше, а ось вирішувати питання з пакетами в режимі реального часу набагато складніше».

2018: Зловмисники використовують memcached як інструмент DoS

28 лютого відвідувачі принаймні 10 хвилин не могли приєднатись до GitHub. У звіті компанії значиться, що зловмисник спрямував на сайт 1,35 Тбіт/с трафіку з 17:21 UTC до 17:30 UTC, використовуючи метод підсилення.

Зловмисник скористався доволі дивним й незрозумілим протоколом, який дозволив посилити просту атаку та перенаправити значно більші пакети в мережу постраждалого сайту. У цьому випадку атака зловживала протоколом, відомим як memcached, що, коли його активувати на сервері підключеному до Інтернету, може посилити атаки у 51 тис. разів.

Проблема в тому, що в багатьох мережах Memcached було ввімкнено на сервері, а сервери були відриті іншим мережам і легко використовувалися зловмисниками.

«Це саме той протокол, який слід використовувати для підсилення, — прокоментував Марак Майкковскі, член команди з CloudFlare, заявив у своєму блозі компанії, — нічого не перевіряється, а дані будуть доставлятися клієнту зі швидкістю падіння! Крім того, запит може бути крихітним, а відповідь величезна (до 1 Мб)».

Атака на GitHub це ще не кінець ескалації розміру DoS атак. Протягом кількох днів після Github друга атака на провайдера онлайн-ігор використовувала вже 1,7 Тбіт/с пропускної здатності, згідно з інформацією від дочірньої компанії Netscout Arbor Networks, яка відмовилася назвати постраждалу компанію.

9 березня Arbor зазначила, що розміри Memcached DDoS атак знизилися завдяки зусиллям з пом'якшення наслідків, які включали захист уразливих серверів.

Однак, оскільки загальна пропускна здатність мережі зростає, то буде зростати й обсяг пакетів, що використовуються для атак відмови в обслуговуванні, — говорить Арборс Доббінс, бо хакери знаходять нові методи для DDoS.

«Основний фактор стимулювання цих атак — доступна пропускна здатність, — сказав він, — і я не бачу причин для того щоб ця тенденція не мала продовження у майбутньому».