В последнее время распределенные атаки типа «отказ в обслуживании» (DDoS) стали обыденным явлением. Нет разницы, представляете ли вы небольшую некоммерческую организацию или многонациональный конгломерат с массой отдельный структур, — любые ваши онлайн-услуги находятся под угрозой.
Электронная почта, веб-сайты и все остальное, что вообще связано с доступом к интернету, — все это может быть существенно замедленно или вообще остановлено с помощью спланированной DDoS-атаки. Более того, подобные нападения также могут использоваться для того, чтобы отвлечь вас от собственной кибербезопасности — пока они проходят, вы можете расставаться с важными данными, даже не задумываясь об этом.
DDoS-атака — комплекс действий, призванный сделать целевой ресурс недоступным для рядовых пользователей. В ее рамках недоброжелатели пытаются остановить работу сервиса на определенное время с помощью его значительной перегрузки. Часто для этого используются ботнеты — сети взломанных устройств.
Первая известная распределенная атака типа «отказ в обслуживании» произошла в 1996 году. В ее рамках один из старейших интернет-провайдеров по имени Panix был отключен от сети из-за SYN-флуда, который сегодня считается классической DDoS-атакой. В течение нескольких следующих лет подобные онлайн-нападения стали рядовым явлением, и, если верить прогнозам Cisco, динамика их использования не перестает увеличиваться — она должна удвоиться с 7,9 миллиона в 2018 году до 15 миллионов к 2023-му.
Тем не менее, важно также понимать, что проблема не только в увеличении числа DDoS-атак. По мере того, как злоумышленники создают все более и более крупные бот-сети из армии взломанных устройств, которые используются для генерации опасного трафика, масштабы каждого онлайн-нападения на различные организации только увеличиваются.
Атаки распределенного отказа в обслуживании со скоростью на уровне одного гигабита в секунду уже предостаточно, чтобы отключить от интернета большинство обычных организаций. Но сейчас наблюдаются нападения, генерируемые сотнями тысяч и даже миллионами подведомственных устройств, которые генерируют мощность, превышающую один терабит в секунду. Если учитывать, что часовой простой ИТ-компании может обойтись ей в сумму от 300 тысяч до 1 миллиона долларов, сразу становится понятно, насколько опасной для бизнеса может быть даже короткая DDoS-атака.
Эта статья расскажет про крупнейшие DDoS-атаки в истории интернета — наиболее заметные на сегодняшний день. Их масштаб реально поражает как мощностью, так и последствиями.
DDoS-атака на Amazon Web Services (AWS) в 2020 году
Amazon Web Services — горилла в мире облачных вычислений весом в несколько центнеров. Она подверглась DDoS-атаке невероятных размеров в феврале 2020 года — это была одна из наиболее серьезных распределенных атак типа «отказ в обслуживании» за последнее время. Тем не менее, важно понимать, что данное нападение было направлено не на сервисы AWS напрямую — нет, целью был неопределенный клиент данной структуры.
Для данной DDoS-атаки использовался облегченный протокол доступа к каталогам (Connectionless Lightweight Directory Access Protocol или CLDAP). Данный метод основан на уязвимостях сторонних серверов CLDAP — он увеличивает объем данных, которые отправляются на IP-адрес жертвы, в 56–70 раз.
DDoS-атака длилась три дня и достигла поразительной скорости около 2,3 терабайта в секунду. Да, сбои в работе, которые были вызваны данным нападением, оказались не настолько масштабными для клиентов хостинга AWS, какими могли быть, но они все же оказались достаточно серьезными, в том числе, в финансовом плане.
DDoS-атаки Mirai на блог Брайана Кребса и OVH в 2016 году
Еще одна крупная DDoS-атака случилась 20 сентября 2016 года. Ее целью стал блог эксперта по кибербезопасности Брайана Кребса (Brian Krebs) — мощность достигла внушительных 620 гигабит в секунду, и на тот момент подобное нападение считалось наиболее крупным в истории интернета. С июля 2012 года Кребс зарегистрировал 269 DDoS-атак, но данный случай был больше чем в три раза более серьезным, чем все, которые видел его сайт.
Источником DDoS-атаки оказался ботнет Mirai, который на пике своего развития немного позже в том же году уже состоял из более чем 600 000 взломанных устройств интернета вещей (IoT): IP-камер, домашних маршрутизаторов, видеоплееров и так далее. Mirai проявил себя настолько сильно впервые, но позже про него услышали снова.
Следующая DDoS-атака Mirai состоялась 19 сентября. Она была направлена на одного из крупнейших европейских хостинг-провайдеров по имени OVH. На его мощностях размещено около 18 миллионов приложений более чем миллиона клиентов.
Нападение, которое продолжалось около семи дней, было направлено конкретно на одну из структур, которая обслуживается OVH. Оно базировалось приблизительно на 145 тысячах ботов, которые суммарно создали нагрузку около 1,1 терабита в секунду. Тогда Mirai впервые показал, насколько мощной вообще может быть DDoS-атака. Размер и сложность структуры ботнета также впечатляли.
DDoS-атака Mirai на Dyn в 2016 году
Прежде чем перейти к третьей известной DDoS-атаке Mirai во все том же 2016-м, следует упомянуть одно связанное с этим событие. 30 сентября этого же года некто, утверждающий, что является автором программного обеспечения Mirai, опубликовал исходный код данного проекта на одном из хакерских форумов. С тех пор платформа была множество раз продублирована и модифицирована.
DDoS-атака на Dyn — крупного провайдера службы доменных имен (DNS) — произошла 21 октября 2016 года. Ее мощность составила один терабит в секунду, а по некоторым сведениям могла достигнуть и 1,5 терабит в секунду — очередной «рекорд» для данной индустрии. Из-за настолько серьезного напора сервисы Dyn были отключены — вместе с этим упал целый ряд известных сайтов, среди которых GitHub, HBO, Twitter, Reddit, PayPal, Netflix и Airbnb.
«Мы наблюдали десятки миллионов дискретных IP-адресов, связанных с ботнетом Mirai, которые были частью атаки», — тогда сообщил Кайл Йорк (Kyle York), главный стратег Dyn.
Mirai использует многовекторные атаки, от которых крайне сложно защититься. Несмотря на то, что именно этот ботнет нес ответственность за самые крупные нападения того времени, наиболее примечательным моментом была именно публикация исходного кода платформы. Она позволила практически любому с минимальными навыками в области информационных технологий создать ботнет и провести распределенную DDoS-атаку.
DDoS-атака на шесть крупных американских банков в 2012 году
12 марта 2012 года волна DDoS-атак обрушилась на шесть американских банков: Bank of America, JPMorgan Chase, US Bank, Citigroup, Wells Fargo и PNC Bank. Нападение осуществлялось сотнями серверов, захваченных ботнетом Brobot, — каждый из них генерировал более 60 гигабит трафика в секунду.
В то время подобные нападения были особенно интересны своей продолжительностью. Да, вместо того, чтобы сразу запустить одну атаку максимальной мощности, злоумышленники использовали множественный «обстрел» самыми разными способами. Судя по всему, они искали тот, который будет работать наиболее эффективно. Получается, даже если у банка была защита от нескольких конкретных типов DDoS-атак, он оказывался абсолютно беспомощным против многих других.
Наиболее примечательным аспектом нападений на банки в 2012 году оказалось то, что они были совершены «Бригадами Изз ад-Дина аль-Кассама» — военным крылом палестинской организации ХАМАС. Целый ряд DDoS-атак оказал огромное влияние на затронутые банки с точки зрения их доходов, а также расходов, которые были нужны для того, чтобы смягчить последствия проблем с обслуживанием клиентов, а также брендингом и имиджем.
DDoS-атака на GitHub в 2018 году
28 февраля 2018 года DDoS-атаке подверглась платформа для разработчиков программного обеспечения по имени GitHub. Ее скорость достигала 1,35 терабита в секунду, а продолжительность составила приблизительно 20 минут.
«Трафик отслеживался из более тысячи различных автономных систем (ASN) через десятки тысяч уникальных конечных точек», — так DDoS-атаку охарактеризовали в GitHub.
Несмотря на то, что GitHub был очень хорошо подготовлен к DDoS-атакам, его защита все равно не устояла. У специалистов площадки просто не было даже мысли, что на нее может быть запущено нападение подобного масштаба.
Эта DDoS-атака была примечательна не только своим масштабом, но и тем, что она была организована с использованием стандартной команды Memcached — системы кэширования баз данных для ускорения работы веб-сайтов и сетей. Подобная техника нападения особенно эффективна, поскольку она обеспечивает коэффициент усиления (отношение масштаба запроса к объему генерируемого трафика DDoS-атаки) до 51 200 раз.
Это перевод материала TechTalks.
