Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
DDoS-атаки: Ковровые бомбардировки стремительно набирают обороты
В последние годы распределенные атаки типа «отказ в обслуживании» (DDoS) стали более частыми и изощренными. Злоумышленники продолжают находить новые способы наводнить целевые сети крупномасштабными атаками, которые растут в геометрической прогрессии и используют различные методы атак.
Ковровые бомбардировки — один из тех разрушительных методов, который стал серьезной проблемой для предприятий и поставщиков услуг во всем мире, особенно потому, что его все чаще используют опытные хактивисты.
Последствия ковровых DDoS-атак могут оказаться разрушительными для организации. Они вызывают длительные простои больших частей сети, а также наносят финансовые потери и репутационный ущерб.
DDoS-атаки направлены на перегрузку ресурсов цели, делая ее услуги недоступными для законных пользователей. Однако ковровые бомбардировки выводят традиционную DDoS-атаку на совершенно новый уровень, используя обширную сеть ботнетов для организации одновременных атак на несколько целей. Масштаб и сложность этого подхода делают защиту от него особенно сложной.
Вот три элемента ковровой бомбардировки.
1. Набор ботнетов: Злоумышленники используют огромное количество скомпрометированных устройств, включая компьютеры, серверы, маршрутизаторы и устройства Интернета вещей, без ведома владельцев. Эти устройства затем объединяются в ботнет.2. Выполнение атаки:После того, как ботнет задействован, злоумышленник, скорее всего, остановится и будет ждать команды атаки, поскольку он предполагает, что у цели есть решение для смягчения последствий.
Затем злоумышленник отправит разрозненную атаку, а не отправит ее на отдельные IP-адреса назначения, чтобы попытаться измерить настроенные пороговые значения и определить, что можно, а что нельзя взломать.
В конечном итоге они ищут золотую середину чуть ниже настроенного порога скорости. Как только это будет обнаружено, злоумышленник отступит или, возможно, поддержит его в течение определенного периода времени (от часов до дней), чтобы понять, были ли они обнаружены и внесены в черный список.
Теперь что касается ударной команды. Злоумышленник инициирует тот же объем вредоносного трафика, на этот раз бомбардируя всю подсеть(и) или CIDR/s (тысячи IP-адресов назначения) одновременно.
Оставаясь ниже порогового значения, все атакованные серверы пытаются ответить, что создает подавляющий поток атак, который может привести к повреждению внутренних служб, включая устройство защиты. Этот поток трафика перегружает сетевую инфраструктуру цели, делая онлайн-сервисы недоступными.
3. Многовекторный подход: Ковровая бомбардировка DDoS использует несколько векторов атак, включая объемные атаки (наполнение сети чрезмерным трафиком), атаки уровня приложений (нацеленные на определенные приложения или службы) и атаки протоколов (использование уязвимостей в сетевых протоколах). Такой многогранный подход максимизирует шансы на успех.
Защита от DDoS-атак с ковровыми бомбардировками сложнее, чем защита от целенаправленной атаки просто потому, что большинство поставщиков DDoS принимают меры против отдельных IP-адресов, а не подсетей и сетей. Последствия плохой защиты различаются.
Организации, подвергшиеся ковровой бомбардировке DDoS, могут столкнуться со значительными перебоями в обслуживании, что приведет к финансовым потерям, подпорченной репутации и неудовлетворенности клиентов. Недоступность критически важных услуг может вызвать серьезные эксплуатационные проблемы.
Поскольку ковровые бомбардировки DDoS одновременно нацелены на несколько объектов, побочный ущерб также является обычным явлением. Даже если объекту удастся смягчить атаку, огромный объем вредоносного трафика может повлиять на более широкую инфраструктуру, вызывая замедление или сбои в работе других пользователей и служб.
Чтобы защититься от ковровых бомбардировок, организациям следует следовать нескольким передовым практикам. Для начала им понадобится детектор и средство защиты от DDoS-атак, способное отображать мониторинг сети в мирное время, а также выявлять аномальные модели трафика и потенциальные DDoS-атаки в режиме реального времени. Раннее обнаружение обеспечивает быстрое реагирование. Следующим шагом является создание автоматического противодействия смягчению последствий.