În 2023, atacurile DDoS continuă să crească în intensitate, frecvență și sofisticare, obligând companiile să caute soluții și strategii care să le ajute să combată acest tip de amenințări. Din acest motiv, la întrebarea „Cum să combați un atac DDoS”, Google livrează peste 17 milioane de răspunsuri. Pentru a te scuti de efortul căutării și trierii, am realizat un mini ghid cu informații actualizate despre evoluția și tipul celor mai frecvente atacuri, dar și cu recomandări practice de măsuri și soluții de protecție împotriva acestora.
Cum au evoluat atacurile DDoS
Atacurile de tipul Distributed Denial of Service (DDoS) au înregistrat în ultimul an o creștere substanțială, estimată la 46%. Conform statisticilor, în 2022 numărul mediu de atacuri înregistrate zilnic a fost de peste 1.400, ajungându-se aproape la un atac pe minut. Frecvența cea mai ridicată a fost atinsă în septembrie, când vârful a fost de 2.215 atacuri/zi, iar cel mai mare atac s-a înregistrat în mai, dimensiunea fiind de 3,25 TBps.
În ceea ce privește tipologia, cele mai uzuale atacuri au fost cele de tip TCP (TCP SYN, TCP ACK, TCP floods etc.), care au reprezentat aproape două treimi (63%) din totalul atacurilor de trafic. Pe locul doi s-au situat atacurile UDP (de tip UDP flood și UDP amplification attacks), cu 22%, și cele de tipul Packet anomaly, care au reprezentat 15% din totalul atacurilor DDoS contorizate în 2022.
În ultimul an, atacurile DDoS au devenit tot mai frecvente și în România, înregistrând o creștere susținută în 2022, alimentată de contextul războiului din Ucraina. Nici anul acesta situația nu se prezintă mai bine, cea mai recentă țintă vizată fiind Ministerul Dezvoltării, care a suferit un atac DDoS la mijlocul lunii aprilie.
Cele mai frecvente categorii de atacuri
La momentul actual, din punct de vedere al frecvenței, celei mai utilizate atacuri DDoS sunt cele asupra infrastructurii, care vizează vulnerabilități sau puncte slabe la nivel de Layer 3 (rețea) sau Layer 4 (transport). Majoritatea atacurilor DDoS se încadrează în această categorie, inclusiv atacurile de tipul SYN flood, Ping of Death (PoD), ICMP flood și UDP flood. Atacurile volumetrice reprezintă cel mai comun tip de atac DDoS și folosesc că metodă inundarea serverului (sau a lățimii de bandă) cu cereri false pentru a-l face incapabil să accepte traficul legitim.
O altă categorie de atacuri cu incidență crescută sunt cele asupra aplicațiilor, nivel Layer 7, care vizează punctele slabe ale anumitor soluții. Atacurile utilizează cel mai adesea protocolul HTTP și, mai rar, FTP, NTP, SMTP sau DNS, pentru a face aplicația vizată incapabilă să comunice sau să livreze conținut. Spre deosebire de atacurile volumetrice, cele asupra aplicațiilor pot atinge impactul dorit cu un volum relativ scăzut de cereri, ceea ce le face dificil de detectat.
O altă tendință care a devenit tot mai evidentă anul trecut a fost scurtarea duratei atacurilor DDoS – 89% au ținut mai puțin de o oră, iar aproape un sfert (26%) sub două minute. Atacurile scurte necesită mai puține resurse din partea atacatorilor, care le pot folosi astfel în mod repetat, pe parcursul mai multor ore, împotriva unei ținte. Din această cauză, sunt și mai dificil de atenuat prin metodele de protecție DDoS tradiționale.
Elementele standard de depistare a unui atac DDoS
Cum să combați un atac DDoS nu este o sarcini simplă și vei descoperi că există numeroase recomandări de tehnici de identificare și monitorizare a acestui tip de amenințări.
Pentru a reduce efortul de documentare, specialiștii M247 au realizat o sinteză a celor mai utilizate recomandări, pe care o prezentăm mai jos într-o fomulă simplicată în doi pași:
1. Confirmarea atacului DDoS
Așa cum am menționat, atacurile DDoS au durate diferite, însă principalii indicatori folosiți pentru depistarea acestui tip de amenințări sunt:
- Latența rețelei și/sau performanțele neobișnuit de mici ale rețelei la deschiderea fișierelor și/sau la accesarea site-urilor web.
- Performanța scăzută a aplicațiilor.
- Utilizarea ridicată a procesorului și a memoriei serverelor.
- Traficul de rețea anormal de mare.
- Indisponibilitatea sau inaccesibilitatea site-urilor web.
Dacă te confrunți cu aceste „simptome”, măsură recomandată este cea de a contacta furnizorul de servicii de internet (ISP) pentru a stabili dacă există o întrerupere a serviciilor acestuia sau dacă rețeaua lor este ținta atacului, iar compania ta este o victimă indirectă.
2. Obținerea de informații despre natura atacului
Pentru a putea lua măsurile adecvate de remediere, sunt necesare o serie de informații specifice, obținute prin:
- Identificarea tipurilor de adrese IP utilizate pentru propagarea atacului.
- Depistarea serviciilor în curs de execuție vizate de atacuri.
- Corelarea nivelului de utilizare a procesorului/memoriei serverului cu jurnalele de trafic de rețea și nivelurile de disponibilitate a aplicațiilor.
- Efectuarea de capturi de pachete (PCAP) ale activității DDoS pentru a verifica dacă firewall-ul blochează traficul malițios și permite traficul legitim să treacă.
Cum să combați un atac DDoS
Unul din răspunsurile standard la această întrebare este cel de a apela la serviciile furnizorilor ISP. Eficiența unei astfel de abordări depinde însă de capacitatea tehnică, competențele și experiența furnizorului ISP în a gestiona o astfel de situație. În numeroase cazuri, soluția adoptată este cea a blocării întregului flux de trafic din exterior, inclusiv a celui legitim, ceea ce vă poate genera pagube substanțiale.
O altă variantă este aceea de a folosi infrastructura proprie și competențele interne ale companiei pentru a bloca atacul. Tehnicile uzuale recomandate în acest caz sunt filtrarea adreselor IP, pentru a bloca accesul la servicii de la adrese IP individuale, sau geoblocarea, care poate bloca accesul din regiuni geografice întregi. (Filtrarea IP este cea mai eficientă pentru blocarea locațiilor de trafic specifice și cunoscute, în timp ce geoblocarea este cea mai eficientă pentru blocarea întregului trafic, în cazul în care locațiile specifice sunt necunoscute.)
Dacă blocarea efectivă nu funcționează, poți opta pentru redirecționarea traficului legitim către o nouă adresă IP și schimbarea DNS-ului, astfel încât țintele să nu mai fie vizibile pentru atacatori. Deși este o soluție temporară, migrarea traficului poate opri atacurile DDoS la scară mică și permite câștigarea de timp pentru aplicarea altor măsuri de apărare. Concomitent, se recomandă și schimbarea configurațiilor firewall-urilor, implementând noi reguli specifice pentru blocarea atacurilor.
În cazuri extreme, poți opri complet serviciile și/sau aplicațiile vizate, pentru a preveni pagubele imediate. O astfel de măsură (similară cu cea aplicată de furnizorii ISP) blochează atacurile, dar generează și pierderi consistente de clienți și profit. Pagubele generate de un atac DDoS pot fi însă mult mai ample și de durată, fiind afectată major imaginea companiei.
Care este soluția optimă pentru protecție anti-DDoS
Înainte de a lua o decizie, trebuie să mai ții cont de un factor important – și anume că atacurile DDoS sunt folosite adesea ca acoperire pentru a disimula alte manevre din partea atacatorilor, mult mai dăunătoare. Cum ar fi, de exemplu, infiltrarea în infrastructura IT a companiei și exfiltrarea de date sau instalarea de programe malware dificil de depistat. Ceea ce înseamnă că, atunci când specialiștii în securitate IT se confruntă cu atacuri DDoS, trebuie să fie în alertă și pentru alte tipuri de atacuri, fapt care pune o presiune suplimentară asupra resurselor interne deja limitate.
Pentru a depăși aceste provocări, tot mai multe companii aleg soluția de a apela la un furnizor de servicii anti-DDoS. Furnizorii de servicii de protecție DDoS pot detecta atacurile în stadii incipiente și dispun de lățimea de bandă necesară pentru a absorbi traficul pe scară largă, precum și de resursele scalabile necesare pentru o atenuare eficientă.
Optând pentru o astfel de soluție, companiile au garanția că sunt protejate împotriva unui spectru larg de atacuri DDoS, atât la nivelul întregii infrastructurii in-house, cât și în medii cloud, multi-cloud sau hibride. Timpul de atenuare și blocare, precum și nivelul de funcționare aplicațiilor și serviciilor sunt garantate contractual, iar companiile sunt permanent notificate asupra evoluției atacului și obiectivelor vizate și beneficiază de servicii de audit.
M247 oferă servicii personalizate de protecție anti-DDoS, proiectate și configurate pe specificul companiilor voastre. Asigurăm servicii complete de monitorizare și audit tehnic, pentru a asigura nivelurile optime de performanță pentru servicii și aplicații, precum și de detectare și atenuare a atacurilor, precum și de management proactiv.
M247 are o ofertă extinsă de servicii anti-DDoS, contactează-ne pentru mai multe informații!
