Що таке атака типу «відмова в обслуговуванні» (DoS)?
Розуміння історії, еволюції та серйозності атак типу «відмова в обслуговуванні»
Поділіться
Відмова в обслуговуванні (DoS) — одна з найстаріших і найпоширеніших форм кібератак. Його мета проста: заблокувати доступ до легальної послуги.
Форми атак типу «відмова в обслуговуванні»
DoS-атаки відбуваються переважно за допомогою таких методів:
- Затоплення: скоординована атака перевантажує сервери, відповідальні за підтримку служби, трафіком, який перевищує їхні можливості.
- Використання вразливості: спеціальні повідомлення, які називаються експлойтами, роблять сервіс недоступним, вичерпуючи його обчислювальні ресурси, викликаючи нескінченний цикл, уповільнюючи його роботу, виводячи з ладу, заморожуючи або перезапускаючи додаток.
Таким чином, зловмисники використовують вразливості або перевантажують ресурси, такі як пропускна здатність мережі, процесор і пам'ять, доки ціль не зможе більше обслуговувати своїх клієнтів.
Однією з найефективніших форм цієї атаки є її розподілена форма — розподілена відмова в обслуговуванні (DDoS) — при якій зловмисник проникає і контролює кілька машин, а потім організовує атаку на жертву. Зазвичай атаки, що використовують вищезазначений метод флудінгу, є DDoS-атаками.
Дослівно перекладається як «відмова в обслуговуванні», DoS-атаки – це атаки, які важко відстежити і які мають агресивний вплив. Вони з'явилися разом з комерційним інтернетом і постійно розвиваються, перетворюючись на більш сучасні та ефективні методи відмови в обслуговуванні, такі як нещодавнє впровадження штучного інтелекту та хмарних технологій в організацію цих атак.
Тож як починається DoS-атака?
Як пристрої вербуються, зламуються та експлуатуються
Можливо, ви чули про ботнети та ризики безкоштовних VPN. Завантаження шкідливих програм, які приховуються під легальними сервісами, є одним з найпоширеніших способів злому пристроїв, що нагадує нам філософську максиму форумів Reddit: якщо сервіс безкоштовний, то ви є продуктом.
Основна ідея DDoS-атаки, тобто розподіленої форми DoS-атаки, яка на даний момент є найпопулярнішою, полягає, перш за все, у залученні достатньої обчислювальної потужності для перевантаження сервісу жертви. Це робиться шляхом захоплення вразливих пристроїв і встановлення на них шкідливого програмного забезпечення, що дозволяє організатору атаки дистанційно керувати цим пристроєм.
Набір викрадених комп'ютерів, серверів та пристроїв Інтернету речей називається ботнетом і є обчислювальною армією кіберзлочинців. По-друге, вторгнення в цю країну комп'ютерів служить для анонімізації джерела атаки, що означає, що відповідальні за DDoS-атаки рідко притягуються до відповідальності за свої злочини.
Тому перед завантаженням «безкоштовного» VPN або веб-сервісу врахуйте, що ваш комп'ютер може бути захоплений у злочинну бот-мережу і що без вашого відома різні незаконні дії, особливо DDoS-атаки, можуть бути пов'язані з вашою IP-адресою.
Архітектура DoS-атаки
Нижче наведено приклад розподіленої архітектури, в якій зловмисник компрометує декілька машин за допомогою обробників, зберігаючи свою анонімність і звинувачуючи власників машин, залучених до ботнету.
Рисунок 1.1 - архітектура обробників / агентів.
Основна ідея хендлерів, які є проміжними серверами між зловмисником та інфікованими машинами, полягає в тому, щоб ускладнити відстеження хакера або групи, відповідальної за атаку. Таким чином, агентні машини — солдати на передовій — безпосередньо реагують на сервери-керівники, здійснюючи DoS- або DDoS-атаку на жертву за допомогою експлойтів або флудінгу. Звичайно, обробники контролюються зловмисником.
Що спільного між агентами та менеджерами? Зазвичай слабкі політики кібербезпеки, такі як:
- Слабкі або стандартні паролі
- Неправильно налаштовані брандмауери
- Застарілі системи без патчів безпеки.
Крім того, соціальна інженерія, в рамках якої злочинці регулярно фальсифікують внутрішню комунікацію компанії, спонукаючи до встановлення шкідливого програмного забезпечення, маніпулюючи співробітниками з метою отримання привілейованого доступу до системи компанії або просто обмінюючись шкідливими посиланнями електронною поштою, є одним з найефективніших способів вторгнення та контролю над пристроями.
Хмара, штучний інтелект і революція на ринку DoS
Ризик у хмарах
Ніхто не хоче згадувати роки пандемії COVID-19: локдауни, економічна криза, переповнені державні медичні заклади та смерті... Дійсно, це були мучительні роки. Але одним із тривалих наслідків — можливо, позитивним для деяких — стало прискорення та популяризація роботи з дому.
Однак робота з дому означає, що майже у всіх можливих сценаріях вам доведеться дистанційно підключатися до системи вашої компанії. Це, в свою чергу, передбачає наявність послуг у хмарах.
Грубо кажучи, хмари можна описати як дуже потужні машини, розташовані у величезних дата-центрах по всьому світу, які розміщують і надають комерційні послуги. Іншими словами, замість того, щоб працювати на вашому комп'ютері або сервері вашої компанії, сервіс працює на комп'ютерах хмарних провайдерів, таких як AWS, Microsoft Azure та Google Cloud.
Часто компанія наймає двох, трьох або більше хмарних провайдерів для хостингу своїх послуг. Однак кожна хмара має різні налаштування, дозволи та журнали. Ця фрагментація може призвести до невідповідності в питаннях безпеки. Що ще важливіше, масове впровадження хмарних сервісів збільшує можливу площу атаки.
Таким чином, ми бачимо, що методи DoS-атак еволюціонують відповідно до найсучасніших технологій на даний момент історії.
Домашні ПК
У 1990-х і 2000-х роках популяризація домашніх ПК призвела до створення самовідтворюваних черв'яків та іншого шкідливого програмного забезпечення, такого як Phatbot, яке проникало в системи Windows і використовувалося в ботнетах.
Інтернет речей
У 2010–2015 роках революція пристроїв Інтернету речей (IoT) значно збільшила кількість вразливих машин, що призвело до таких знакових випадків, як Mirai.
Служби Cloud
Після 2020 року масове впровадження хмарних сервісів принесло як нові можливості, так і нові ризики. Тепер об'ємні атаки можуть бути спрямовані проти критично важливих хмарних сервісів, використовуючи їх еластичність і перетворюючи DDoS в економічну атаку: хмара підтримує трафік, але стягує плату за кожен запит.
Прискорення ризиків за допомогою штучного інтелекту
Водночас штучний інтелект почав відігравати центральну роль у цих атаках. Раніше атаки залежали від ручної координації хакерів або груп, а зараз вони автоматизовані за допомогою алгоритмів машинного навчання. Ці системи аналізують захист у режимі реального часу та коригують атаку за лічені секунди, роблячи її більш стійкою. Крім того, демократизація за допомогою таких моделей, як FraudGPT та WormGPT, надала інструменти для атак навіть початківцям. Скриптові хакери тепер займаються парним програмуванням з використанням великих мовних моделей (LLM), що посилює їхній вплив, навіть незважаючи на низький рівень технічної підготовки.
Штучний інтелект революціонізує ринок
Таким чином, поєднання хмарних технологій та штучного інтелекту революціонізувало ринок DDoS: хмарні технології забезпечили масштабність та економічну ефективність, а штучний інтелект — адаптивність та доступність.
І останнє, але не менш важливе: мова йде про ринок DDoS: так само, як ми можемо щомісяця орендувати послуги потокового передавання даних та хмарного зберігання, на каналах Telegram також доступні кримінальні ринки для DDoS-атак на замовлення.
Дійсно, ніколи ще не було так просто атакувати конкурента в Чорну п'ятницю або навіть обдарувати улюблених ворогів мільйонами HTTP-запитів в секунду.
Історія DoS-атак
Дата | Description | Tech Stack | Responsible(s) |
|---|---|---|---|
2003-2004 | Emergence of the Phatbot [1] worm, which exploited vulnerabilities in Windows systems to control millions of machines, used for spam, credential theft, and massive DDoS attacks. | Exploiting vulnerabilities in Windows + self-replicating worms | No clear central authorship |
2016 | The Mirai [2] botnet, made up of millions of insecure IoT devices (cameras, routers, DVRs), was used in an attack against DynDNS, which resulted in the shutdown of global services such as Netflix & Amazon. | Exploitation of default passwords on IoT devices, creation of a massive botnet, and distributed volumetric attack | In 2017, Paras Jha, Josiah White, and Dalton Norman pleaded guilty to crimes related to the Mirai botnet. [45] By assisting the government in other investigations, they were sentenced to probation and community service without |
2016 | Exploitation of the TR-069 protocol, used by modems for remote management. Malicious files sent caused a mass reboot of millions of devices in Europe | Exploitation of the TR-069 (CWMP) protocol, sending malicious SOAP payloads [2]. | Daniel Kaye (“SpiderMan”), British hacker hired to attack a Liberian telecom company. He ended up shutting down the entire internet in Liberia. |
2018 | GitHub suffered one of the largest DDoS attacks in history at the time, with peaks of 1.3 Tbps, exploiting open memcached servers on the internet. | Memcached amplification [3] (reflection and amplification via UDP) | Not attributed to a specific group; likely operators of rented botnets (DDoS-for-hire) |
2022 | During the Russia–Ukraine war, Telegram channels coordinated DDoS attacks against government websites, banks, and private companies in both countries | Distributed botnets + coordination via Telegram bots | Killnet (pro-Russia) and the IT Army of Ukraine (pro-Ukraine) |
2022 | During the Russia–Ukraine war, Telegram channels coordinated DDoS attacks against government websites, banks, and private companies in both countries | Distributed botnets + coordination via Telegram bots | Killnet (pro-Russia) and the IT Army of Ukraine (pro-Ukraine) |
2023 | Discovery and exploitation of the HTTP/2 Rapid Reset Attack [4], in which multiple connections are opened and quickly canceled, overloading modern web servers | HTTP/2 protocol, exploitation of the pipelining mechanism and stream reset | The attack was claimed by the pro-Russia hacker activist group NoName05617 |
2025 | The social network X (formerly Twitter) was the target of a massive DDoS attack, which sought to draw political attention and cause media chaos | Botnets distributed across cloud servers + coordination on Telegram, using modern L3/L4/L7 flooding [5] techniques | Dark Storm Team, a pro-Palestinian hacker activist group. |
Примітка: Заяви про відповідальність за атаки з боку груп хакерів-активістів не є достатнім доказом їхньої причетності до цих атак. Важливо пам'ятати, що існує ринок послуг DDoS-атак на замовлення і що різні групи — з політичними мотивами чи без них — змагаються за увагу ЗМІ, прихильників та гроші.
Чому з DoS важко боротися
Боротьба з DoS- та DDoS-атаками є одним із найбільших викликів у сучасній цифровій безпеці. Причини варіюються від технічних обмежень до економічних і соціальних факторів. Серед основних труднощів можна виділити:
Масштабність атаки
Хмарні провайдери можуть обробляти мільйони одночасних підключень без перебоїв у роботі своїх сервісів. Однак кожна додаткова оброблена заявка генерує витрати, які перекладаються на цільову компанію. Таким чином, об'ємна атака може не тільки зробити послуги недоступними, але й завдати значних економічних збитків, перетворюючи DDoS на фінансову зброю.
Обмежене відстеження
Класичною технікою, що використовується в атаках, є підробка IP-адреси. У цій техніці зловмисник підробляє вихідну IP-адресу в надісланих пакетах, створюючи враження, що вони надходять з іншого місця. У поєднанні з використанням хендлерів (проміжних серверів) та розподілених мереж це ускладнює ідентифікацію справжнього автора атаки. В результаті розслідування часто обмежується відстеженням лише агентських машин — тих, що були захоплені для створення ботнету, — а не зловмисника, який організував DDoS-атаку.
Схожість між законним і незаконним трафіком
Відокремлення реальних користувачів від ботів є одним із найскладніших аспектів захисту від DDoS-атак. Це пов'язано з тим, що зловмисники не надсилають «дивних» або легко ідентифікованих пакетів, а імітують цілком дійсні запити, використовуючи ті самі протоколи (HTTP/HTTPS, DNS), порти та формати даних, що й легітимний доступ. Часто пакети мають правильні заголовки, дійсні токени і навіть відповідають типовим моделям перегляду веб-сторінок користувачами-людьми.
Наприклад, у атаках на 7-му рівні простий запит GET або POST, зроблений ботом, ідентичний запиту, зробленому людиною. Крім того, деякі групи застосовують методи машинного навчання, які аналізують реальний трафік і генерують шаблони, що імітують його, відтворюючи ритм доступу, пікові години та навіть взаємодію API. Тому, по суті, злочинний трафік часто не відрізняється від законного трафіку, що надходить з різних джерел, з моделями, схожими на моделі законних користувачів, з єдиною чіткою відмінністю між ними — масштабом, тобто кількістю запитів на секунду.
Розширена поверхня атаки
У нинішній ситуації залежність від декількох хмарних провайдерів, поширення пристроїв IoT без патчів безпеки та стрімке зростання кількості сторонніх API створюють ще більше вразливостей. Випадок з API є критичним: оскільки комунікація відбувається між машинами, відрізнити легітимний трафік від зловмисного трафіку є особливо складно. Зловмисник може імітувати правильні запити з дійсними змінними та токенами і все одно використовувати їх у великих обсягах, щоб вичерпати системні ресурси.
Конкуренція серед хакерів
Авторство DDoS-атак рідко буває очевидним. Групи можуть брати на себе відповідальність за напади, які вони насправді не здійснювали, лише для того, щоб здобути популярність. Оскільки атаки координуються анонімно, часто на таких каналах, як Telegram, «авторство» не дорівнює «правді». Крім того, оскільки ботнети звинувачують власників агентних машин, правильне віднесення атаки до хакера або групи, що несе відповідальність, стає ще більш невизначеним.
Висновок
Атаки DoS і DDoS розвивалися разом з самим Інтернетом. Хоча спочатку це були примітивні атаки з перевантаженням трафіку, сьогодні вони поєднують глобальний масштаб, автоматизацію та штучний інтелект, стаючи все більш витонченими та стійкими.
Демократизація кіберзлочинності, яка сьогодні відкрито рекламується на каналах Telegram, з планами DDoS-as-a-service, криптовалютними платежами і навіть LLM, навченими допомагати у створенні шкідливого програмного забезпечення, таким як FraudGPT і WormGPT, знижує бар'єр для входу в DDoS-атаки.
Як показує звіт Radware Threat Report [7], веб-атаки DDoS зросли на 550% з 2023 по 2024 рік, а мережеві атаки DDoS зросли на 120%. Ми також спостерігаємо розширення площі атаки з розширенням ринку хмарних технологій, і перспективи на майбутнє залишаються такими ж, як і 30 років тому: з появою нових функцій виникають нові вразливості, які будуть експлуатуватися, потім усуватися, а потім знову експлуатуватися в нескінченній грі в кота і мишу, яка рухає цифрову безпеку.
Зрештою, DDoS — це не просто технічна проблема, це дзеркало самого Інтернету: відкритого, потужного і крихкого, яке нагадує нам, що стійкість повинна розвиватися так само швидко, як і загрози.
Посилання
-
Phatbot - Science Direct
-
What was the Mirai botnet? - Malwarebytes
-
How TR-069 works - Made4it
-
Top 7 SOAP vulnerabilities - Brightsec
-
Memcached DDoS attacks - Cloudflare
-
Rapid Reset DDoS attacks - Cloudfare
-
What is Layer 3,4 and 7? - Профазе
DDoS: ЧаПи
DoS-атака завалює сервер або мережу надмірним трафіком, щоб перевантажити їхні ресурси. Метою є тимчасове блокування доступу реальних користувачів до веб-сайту, сервісу або додатка шляхом вичерпання пропускної здатності або системних ресурсів.
DoS-атака походить з одного джерела, тоді як DDoS-атака (розподілена атака типу «відмова в обслуговуванні») використовує сотні або тисячі заражених пристроїв по всьому світу. DDoS-атаки важче відстежувати та захищатися від них, оскільки вони виглядають як легітимний трафік з багатьох кінцевих точок.
VPN приховує вашу справжню IP-адресу, ускладнюючи зловмисникам прямий доступ до вашого пристрою. Децентралізовані VPN, такі як NymVPN, забезпечують більш надійний захист, маршрутизуючи дані через мікснети, завдяки чому зловмисники не можуть навіть ідентифікувати або відстежити джерело вашого з'єднання.
Негайно відключіть пристрій, перезавантажте маршрутизатор і зверніться до свого інтернет-провайдера або хостинг-провайдера. Перехід на іншу мережу або використання VPN може допомогти приховати вашу нову IP-адресу. Для організацій впровадження анти-DDoS-інструментів та децентралізованої маршрутизації може пом'якшити наслідки майбутніх атак.