Ostatnie 12 miesięcy to dynamiczny okres w świecie DDoS. Znacznie zmienił się arsenał narzędzi i taktyka przestępców, odzwierciedlając trwającą ewolucję tego rodzaju ataków. Zestawienie tego, co działo się w tym okresie, zostało opracowane i przedstawione w formie 10 głównych trendów przez firmę Prolexic Technologies specjalizującą się w usługach ochrony przed kampaniami DDoS. Dane zostały zebrane od klientów z całego świata przez Prolexic Security Engineering & Response Team, a następnie poddane analizie.

Większa liczba i większa masa

Głównym problemem jest rosnąca liczba ataków, których w 2013 roku było o prawie 33 % więcej niż rok wcześniej. Również w ujęciu miesięcznym ataków było więcej. W 10 na 12 miesięcy odnotowano więcej prób DDoS niż w 2012 r. Na znaczeniu zyskują zaawansowane, ale przeprowadzane na mniejszą skalę, ataki w warstwie 7 modelu OSI/ISO. Przybyło ich aż 42 %. Szerokie, infrastrukturalne ofensywy pochłaniające znaczne przepustowości i przeprowadzane w warstwach 3 i 4 również rosną, ale wolniej. W tej kategorii dynamika wyniosłą 30 %.

Zobacz również:

• Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie
• IBM Security QRadar SIEM pomoże zarządzić globalną strukturą odpowiedzialną za bezpieczeństwo

Najczęściej stosowanymi w 2013 roku technikami DDoS było zalewanie żądaniami DNS, CHARGEN (Character Generator Protocol) oraz datagramami UDP. Na znaczeniu traciły natomiast ataki wykorzystujące flagi SYN oraz protokół ICMP. Mimo rosnącego udziału ataków w warstwie 7, średnia wielkość ataków DDoS rośnie. Coraz częściej pochłaniają one ponad 100 GB/s, a największy zarejestrowany atak sięgnął 179 GB/s.

Ataki w warstwie 7

Kampanie DDoS przeprowadzane w najwyższej warstwie modelu ISO/OSI są trudniejsze do wykrycia niż te w warstwach 3 i 4. W tego typu atakach często wykorzystuje się trzystopniowe uzgadnianie TCP, co umożliwia zmylenie zabezpieczeń, które sprawdzają tylko warstwę 4 i komunikację TCP. W tym przypadku atakujący wygląda, jakby nawiązywał normalne połączenie i dlatego jest przepuszczany do serwera aplikacyjnego czy serwera WWW. Tą drogą w dużej liczbie są nadawane żądania zwrócenia obiektów bądź plików, np. z wykorzystaniem metody HTTP GET. Najczęściej są to poprawne żądania, ale w ogromnej ilości. Tak dużej, że atakowana maszyna szybko skupia się wyłącznie na odpowiadaniu na nie i potrzebuje znacznie więcej czasu na obsługę pozostałych, nowych zapytań.

Odwrócone wzmocnienie

Bardzo popularną metodą jest tzw. odwrócone wzmocnienie (reflected amplification). W skrócie, technika ta polega na wysyłaniu do wybranego serwera wielu zapytań. Inicjują je zainfekowane komputery, podstawiając jako nadawcę adres IP ofiary. Otrzymując takie żądanie, serwer wysyła odpowiedzi na podany adres IP. Jednocześnie atakujący tak dobierają żądania, żeby odpowiedzi były od nich większe. W ten sposób, wysyłając strumień żądań, można wygenerować znacznie większy strumień odpowiedzi wysyłanych przez serwer do ofiary. Często w tego rodzaju atakach jako „wzmacniacz” wybierane są serwery DNS. Komunikacja między klientem a serwerem DNS odbywa się z wykorzystaniem protokołu UDP, w którym nie ma mechanizmu weryfikacji strony inicjującej komunikację. Można więc łatwo podawać fałszywe adresy nadawcy.

Atak z komórki

Przy gwałtownie rosnącej liczbie użytkowników tabletów i smartfonów było tylko kwestią czasu, kiedy zainteresują się nimi cyberprzestępcy. Wykorzystując aplikacje mobilne, przestępcy mogą zaprząc tę kategorię urządzeń do przeprowadzania zmasowanych ataków. Zagrożenie jest poważne, ponieważ tabletów i smartfonów jest już więcej, niż komputerów PC. Większe zagrożenie stanowią urządzenia z systemem Android z uwagi na otwartą naturę tego system. Decyzja Apple o kontrolowaniu aplikacji w AppStore czyni tę platform nieco bezpieczniejszą, ale absolutnie nie uodparniają jej na malware.

Urządzenia mobilne czynią jeszcze bardziej złożonym kwestie ochrony. Z uwagi na wykorzystanie tzw. super proxy w sieciach mobilnych, trudne jest blokowanie źródłowych adresów IP bez zablokowania uprawnionej komunikacji. Zagrożenie jest realne, choć na razie nie stało się jeszcze faktem. Dotychczas hakerzy wypróbowują, jak wykorzystać urządzenia mobilne do kampanii DDoS. Do skutecznego zablokowania serwera bankowe wystarczy przejąć kontrolę nad 60 tysiącami urządzeń. Jednak dotychczas nikomu się to nie udało. Mimo to nie należy tracić czujności. Wykryto już, m.in. trojana DDoS.1.origin (ozanczonego również jako Android.Tascuda) działającego w systemie Android i służącego do ataków DDoS. Podszywając się pod aplikację ze sklepu Google Play, czeka w uśpieniu, aby po odebraniu określonego sygnału przystąpić do ataku.

Niebezpieczeństwo polega na tym, że aplikacje udostępniane bezpłatnie można wykorzystać jako kontenery do rozpowszechniania kodu wirusów czy trojanów. Niczego nie podejrzewający użytkownicy przyznają im uprawnienia, które zostają później wykorzystane przez przestępców. Problem dotyczy przede wszystkim pobierania aplikacji spoza oficjalnego sklepu Google.

Jeśli spojrzeć na geograficzne źródła ataków, najczęściej są przeprowadzane z krajów Azji. Warto zajrzeć na stronę www.digitalattackmap.com, gdzie można obserwować aktualnie trwające kampanie DDoS.