Hirdetés
. Hirdetés

DDoS-támadások: bénító forgalom

|

A sebezhető IoT- és mobileszközök százezreiből felépített bothálózatokkal, valamint a legfejlettebb technológiák alkalmazásával minden korábbinál nagyobb intenzitású szolgáltatásbénító támadások hajthatók végre.

Hirdetés

Osztott szolgáltatásbénító támadásról (distributed denial of service, DDoS) van szó akkor, ha hackerek lehetetlenné teszik a számítógépes rendszer vagy webes szolgáltatás működését. A támadás hozzáférhetetlenné tehet szervereket, hálózatokat, alkalmazásokat, sőt akár alkalmazásokon belüli speciális tranzakciókat is. Ha a rosszindulatú adatforgalom vagy kérések egyetlen számítógépről érkeznek, DoS-támadásról, ha pedig több rendszer vesz részt a műveletben, DDoS-támadásról beszélünk.

Hirdetés

A szolgáltatásbénító támadások során általában adatok lekérdezésével fojtják meg a célba vett rendszert, amely nem képes kezelni a nagy forgalmat, és elérhetetlenné válik a felhasználók számára. Hatásuk a pár perces üzemszünettől egy cég teljes online tevékenységének hosszabb időtartamú leállásig terjedhet.

Történeti áttekintés
2000 elején történt egy incidens, amely alapvetően megváltoztatta azt, ahogyan a szolgáltatásbénító támadásokra tekinthetünk. Michael Calce (hackernevén MafiaBoy) kanadai gimnazista osztott szolgáltatásbénító támadással kiütötte az akkori idők vezető webes szolgáltatását, a Yahoo!-t, majd az ezt követő héten sikeresen megbénította további internetes nagyágyúk, az Amazon, a CNN és az eBay működését.

Bár nem ezek voltak a világtörténelem első DDoS-támadásai, az őket övező hatalmas publicitásnak és sokakat érintő, kiterjedt hatásuknak köszönhetően örökre bevésődtek a biztonsági vezetők és CIO-k emlékezetébe, mint súlyos fejfájást okozó potenciális veszélyek.

Azóta a DDoS-támadások mondhatni, túlságosan is gyakoriakká váltak, elterjedten használják őket többek között bosszúállásra, zsarolásra, politikai célokra és kiberháborús fegyverként. Az évek során egyre nagyobb szabásúak lettek a szolgáltatásbénító támadások: míg a 90-es évek közepén intenzitásuk 150 kérés/másodperc volt (ez akkor elegendő volt több rendszer megbénítására), addig manapság a rosszindulatú forgalom meghaladhatja az 1000 Gbps-os sávszélességet. Ekkora intenzitást főként nagyméretű bothálózatokkal lehet elérni.

2016 októberében az internetesinfrastruktúra-szolgáltató Dyn DNS-t (ma Oracle DYN) támadták hackerek több tízmilliónyi IP-címről érkező DNS-lekérdezésekkel. A Mirai bothálózat segítségével végrehajtott attakban több mint 100 ezer IoT-eszköz (IP-kamera, nyomtató stb.) vett részt. Legnagyobb kiépítettségében a Mirai 400 ezer botot tartalmazott. A támadás eredményeképpen zavarok léptek fel az Amazon, a Netflix, a Reddit, a Spotify, a Tumblr és a Twitter működésében.

Ez év elején újfajta DDoS-technika tűnt fel. Február 28-án a GitHub fejlesztőplatformot érte elképesztő, 1,35 terabájt/másodperc intenzitású szolgáltatásbénító támadás. Bár a GitHub csak átmenetileg került offline állapotba, és kevesebb mint 20 percen belül teljes mértékben vissza tudta verni a támadást, annak intenzitása komoly aggodalmakra adhat okot.

Elemzők megállapították, hogy bizonyos tekintetben egyszerűbb módszerről van szó, mint amilyet a többi támadásnál alkalmaztak a hackerek. Míg a Dynt célzó támadásnál a Mirai bothálózatot használták, amelynek felépítéséhez több százezernyi IoT-eszközt kellett megfertőzni vírussal, addig a GitHub-incidensnél a Memcached memóriacache-elő rendszert futtató szervereket használták, amelyek nagy mennyiségű adatot adnak vissza egyszerű lekérdezésekre.

A Memcachedet védett szerverekre, belső hálózatra szánták, és nem szerelték fel védelemmel az IP-címek hamisításának és nagy mennyiségű adat gyanútlan áldozatokhoz kiküldésének megakadályozására. Sajnálatos módon több ezer Memcachedet futtató szerver található az interneten, és egyre intenzívebben használják őket a kiberbűnözők DDoS-támadások végrehajtására. Néhány nappal a GitHub-incidenst követően egy amerikai internetszolgáltatót ért Memcached-alapú DDoS-támadás 1,7 terabájt/másodperces intenzitással. Túlzás lenne azt állítani, hogy ezeket a szervereket eltérítik a hackerek, mivel mindenféle kérdés nélkül örömmel küldenek adatcsomagokat bárhová.

A Mirai bothálózat újdonsága abban áll, hogy a legtöbb DDoS-támadástól eltérően nem PC-ket és szervereket, hanem sérülékeny IoT-eszközöket használt. Különösen aggasztó, hogy előrejelzések szerint 2020-ra 34 milliárdnyi eszköz csatlakozik majd az internetre, és ezek közül nem kevesebb, mint 24 milliárdnyi IoT-berendezés lesz. Ezért azután biztosak lehetünk abban, hogy nem a Mirai volt az utolsó IoT-eszközökből álló bothálózat.

Az Akamai, a Cloudflare, a Flashpoint, a Google, a RiskIQ és a Team Cymru kutatócsoportja már fel is fedezett egy hasonló méretű, közel száz országban lévő, 100 ezer megfertőzött androidos eszközből felépített bothálózatot, amelyet WireX-nek neveztek el. Tartalomszolgáltatók ellen indított nagyszabású DDoS-támadások vezettek a nyomára.

Támadási módok
A DDoS-támadások mögött álló hackerek általában bothálózatokat, azaz központi irányítás alá vont, rosszindulatú programmal megfertőzött informatikai eszközökből álló hálózatot használnak. A fertőzött végpontok többnyire személyi számítógépek és szerverek, de egyre nagyobb számban vannak közöttük IoT- és mobileszközök. A kiberbűnözők az interneten felkutatják a sebezhető rendszereket, amelyeket adathalász támadással és más tömeges fertőzést lehetővé tevő módszerekkel fertőznek meg, és vonnak ellenőrzésük alá. Egyre elterjedtebb az a módszer is, hogy a hackerek bérbe vesznek bothálózatokat az üzemeltetőiktől.

A DDoS-támadásoknak alapvetően három fő típusát különböztetjük meg. Az első nagy mennyiségű rosszindulatú adatforgalommal bénítja meg a weboldal vagy szerver működését. A második típus adatcsomagjaival a hálózati infrastruktúrákat és infrastruktúramenedzsment-eszközöket veszi célba. Végül a harmadik támadástípus a szervezet alkalmazásrétegét célozza: a programokat rosszindulatú kérésekkel árasztja el.

Ami a DDoS-támadásokkal kapcsolatos trendeket illeti, fentebb már említettük, hogy egyre gyakoribb a bothálózatok bérlése. Egy másik eluralkodó irányzat, hogy a kiberbűnözők a támadás során többféle módszert alkalmaznak, amit a szakma fejlett állandó szolgáltatásbénító (Advanced Persistent Denial-of-Service, APDoS) támadásnak nevezett el.

Például célozhatja az APDoS-támadás az alkalmazásréteget (adatbázisokat, programokat stb.) és a szervereket is. Szakértők szerint itt már többről van szó, mint puszta elárasztásról, és a hackerek gyakran már nem csupán az áldozatul kiszemelt vállalatokat támadják, hanem azokat a szervezeteket is (például internet- és felhőszolgáltatókat), amelyektől függ a működésük. Az ilyen széles hatókörű, nagy hatású támadások magas szintű szervezettséget mutatnak.

Szintén változik az osztott szolgáltatásbénító támadások vállalatokra gyakorolt hatása: a szervezeteknek immár nem csak maguk miatt kell aggódniuk egy-egy DDoS-támadás kapcsán, mivel az incidens nagy számban érinti az üzleti kapcsolataikat, beszállítóikat is, vagyis azokat a cégeket, amelyekre a működésük épül.

Régi aranyszabály a biztonsági szakmában, hogy a védelmi rendszer csupán annyira hatékony, mint a leggyengébb láncszeme, és a mai üzleti környezetekben sokszor valamelyik partner a sikeres támadást lehetővé tevő gyenge láncszem.

Ráadásul, ahogy a kiberbűnözők is folyamatosan fejlesztik a DDoS-támadásokhoz használt módszereiket, a védelmi technológiákat és taktikákat is folyamatosan tökéletesíteni kell. Biztonsági szakértők szerint csupán idő kérdése, hogy a hackerek integrálják támadásaikba az olyan feltörekvő technológiákat, mint a mesterséges intelligencia és a gépi tanulás, ami jelentősen megnehezíti majd a DDoS-támadások elleni védekezést.

Hirdetés
Ügyfélszolgálati változás!
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.