Ataki Rozproszonej Odmowy Dostępu (Distributed Denial of Service), znane potocznie jako DDoS, to "hit" ostatnich lat. Niekoniecznie jako domena przestępców - DDoS można też sprezentować konkurencyjnej firmie, komuś, kto nam podpadł, czy też - to jest ostatnio wyjątkowo popularne - rywalowi w grze sieciowej. Nam ostatnio trafił się w naszej sieci DDoS rekordowy.
Co to jest ten DDoS?
Pisałem to co prawda już wielokrotnie, ale przecież nie wszyscy musieli czytać :) Wyobraźcie sobie sklep, dysponujący wąskimi drzwiami. To jest nasz, atakowany serwer. W kolejce do niego stają ludzie - to są zapytania z internetu. Wy, czy ja - każdy, kto usiłuje zajrzeć na docelową stronę. DDoS natomiast to banda kilkuset "karków", rzucających się do drzwi i nie dających wejść do sklepu tym, którzy faktycznie mają sprawę.
Skąd się biorą wirtualne "karki"? To komputery przejęte przez przestępców (np. przy użyciu złośliwego oprogramowania), bądź serwery używające podatnych na ataki usług. O ile to pierwsze jest jasne, drugie - tzw. reflected DDoS - wymaga drobnego wyjaśnienia.
Wasz komputer pokazuje Wam, zazwyczaj w prawym dolnym rogu, aktualną godzinę. By zawsze była prawidłowa, raz na jakiś czas odpytuje o nią zajmujący się tym serwer. Wysyła odpowiednią liczbę bajtów do serwera NTP - a ten zwraca odpowiedź. "No i co?" - zapytacie? No i odpowiedź jest większa 557 razy...
A teraz wyobraźcie sobie dziesiątki tysięcy komputerów, podszywających się pod serwer ofiary i "pytających" serwer NTP o godzinę. Ponieważ przedstawiają się adresem IP atakowanego serwera, informacja zwrotna trafi do (a raczej zaleje) serwer ofiary. Zaorane, jak mawia młodzież.
Rekordowe 476,2 Gb/s!
Co gorsza, na przeprowadzenie takiego ataku może sobie pozwolić nawet gimna... tzn. licealista. Podaż botnetów i "firm" oferujących tego typu usługi jest tak duża, że muszą konkurować ceną. Krótki, mocny i bolesny atak może oznaczać wydatek rzędu kilku euro, niekiedy nawet w ramach promocji pierwszy DDoS możemy dostać za darmo. Poważniejsze "strzały", z potencjałem na wykoszenie z sieci choć na chwilę mocniejszego gracza to już większe koszty, ale wciąż takie, na które może pozwolić sobie klasa średnia, nie bardzo zauważając późniejszy ubytek na bankowym koncie.
Nic więc dziwnego, że ataki DDoS trafiły pod strzechy, a wg. naszych statystyk (więcej już niedługo w raporcie CERT Orange Polska za 2020 rok) ich głównymi celami są uczestnicy gier online.
Być może to właśnie kogoś takiego na początku marca zaatakowano rekordowym na Polskę DDoS o sile 476,2 gigabitów na sekundę!
Celem ataku był użytkownik sieci mobilnej, a uderzenie trafiło w węzeł NAT (urządzenia mobilne w naszej sieci nie mają publicznych adresów IP), potencjalnie wystawiając na ryzyko większą grupę użytkowników. Była to kolejna w ciągu tygodnia próba dla naszej infrastruktury ochrony przed DDoS, a dowodem jej skuteczności jest to, że to my wiemy o ataku - klient nie ma o nim pojęcia :) I dowód na to, że warto było lata temu przewidzieć przyszłość. Z naszych usług DDoS Protection korzysta 90% polskiego rynku, z bardzo rozległej listy branż.
Nasze rekordy DDoS to też dowód na popularność tego zagrożenia (nie tylko) w polskim internecie. Pierwszy zanotowany przez nas rekordowy DDoS to 239,5 gigabita na sekundę, w styczniu 2019. Na kolejny spektakularny "strzał" czekaliśmy półtora roku - czerwiec 2020 to przekroczone 300 Gbps (303). Przebicie kolejnej setki zajęło już tylko pół roku...
Komentarze
O proszę, dobrze że nie gram w gry ?? Fajnie ze chronicie swoich klientów przed tego typu atakami.
OdpowiedzTy nie, ale Twoje dzieci już mogą zagrać… 😉
OdpowiedzPytanie, jak potraktowalibyście np. klienta Światłowodu 1 Gbps, gdyby leciał na niego taki atak? Tu już nie ma NAT, wystawione jest publiczne IP. Czy wtedy też chronicie przed atakiem? 🙂
OdpowiedzA czemu byśmy mieli nie chronić? Musimy dbać o jakość sieci, o jej bezpieczeństwo. A dla użytkowników instytucjonalnych mamy komercyjne usługi ochrony przed DDoS.
OdpowiedzNa spokojnie, po prostu miałem jakiś czas usługę 100 Mbps, bywały sytuacje gdy po prostu ktoś mnie atakował i wysycał łącze, atak o sile np. 300 Mbps – wtedy nic się nie działo, byłem odcięty od TV i sieci 🙁
Niemniej jednak, dzięki za odpowiedź! 🙂
Odpowiedz