Лізуть без черги

Навчання 06 грудня 2023

Рівно двадцять років тому світ вперше зіткнувся з першою DDoS-атакою, і в області кібербезпеки почалася нова епоха. Відтоді масштаби і можливості зловмисників, які організовують подібні атаки, суттєво зросли, а сама ця діяльність стала помітним сегментом кримінального бізнесу. На прохання про те, що таке DoS- і DDoS-атаки, хто їх організовує і навіщо, а також які їх перспективи надалі, розповідає IT-аналітик Групи компаній «Інфосек'юріті» Олександр Вураско.

Черга в поліклініку

22 липня 1999 року сервер Університету Міннесоти перестав обробляти запити. Спроби достукатися до нього не увінчалися успіхом, сервер мовчав. Спершу адміни не надали цьому особливого значення - таке траплялося і раніше, але, проаналізувавши мережевий трафік, вони зрозуміли: університетський сервер знаходиться під атакою, з якою ще нікому не доводилося стикатися. Так почалася ера DDoS.

Сервер атакували за допомогою шкідливого скрипту Trinoo, написаного молодою людиною з Нового Орлеана під ніком phifli. Використовуючи відомий експлойт, пов'язаний з переповненням буфера, Trinoo заражав комп'ютери під керуванням Linux, що дозволяло сформувати бот-мережу з сотень машин, готових за командою господаря атакувати цільовий сервер, використовуючи для цього методику UDP-флудингу.

Чим же була унікальна ця атака? Щоб відповісти на це питання, нам доведеться спершу розібратися в тому, що таке атака на відмову в обслуговуванні (denial of service, DoS). Метою такої атаки є порушення нормальної роботи атакуваної системи або утруднення доступу до мережевих ресурсів, для чого використовуються різні техніки.

DoS-атаки мають досить багату історію. Перша згадка про успішну атаку відноситься до 1974 року, коли 13-річний школяр Девід Денніс викликав перебої у функціонуванні терміналів Лабораторії комп'ютерних обчислень Університету Іллінойсу.

У лабораторії було встановлено кілька десятків терміналів PLATO, об'єднаних в єдину мережу і використовуваних для навчання студентів і спільної роботи. Для звернення до зовнішніх пристроїв, підключених до терміналів, використовувалася команда EXT. Тонкість полягала в тому, що в разі, якщо термінал, який не мав периферійних пристроїв, отримував цю команду, його система зависала. Повернути термінал до роботи можна було лише шляхом повного перезавантаження.

Девід вивчив документацію PLATO і виявив цю цікаву особливість. Бажаючи подивитися на реакцію користувачів, які зіткнулися з масовим зависанням терміналів, він написав невелику програму, яка послала команду EXT на всі доступні машини, і попрямував прямо в лабораторію, де успішно випробував її, викликавши одночасне зависання 31 терміналу.

Черга в поліклініку

Щоб пояснити людині, далекій від комп'ютерів, суть DoS- і DDoS-атаки, можна скористатися наступною аналогією. Уявіть, що ви сидите в черзі в поліклініці. Ваша черга вже майже підійшла, коли з'являється людина, яка зі словами «мені тільки запитати» заходить в кабінет терапевта і залишається там на пару годин. Черга в подиві, робочий день закінчується, а невідомий нахабник не прагне залишати кабінет. Це класична DoS-атака. Якщо ж нахабів прийшов цілий натовп і вони своїми питаннями постійно відволікають лікаря і не дають рухатися черзі, то, співчуваємо, ви зіткнулися з DDoS.

Але справжній розквіт DoS-атак припав на другу половину 90-х років, коли з'явилася величезна кількість утиліт, що дозволяли «забити сміттям» канал зв'язку (що було нескладно зробити в епоху модемів і низькошвидкісного інтернету) або викликати зависання, а то і перезавантаження віддаленого комп'ютера.

Такі програми в народі називалися «нюками» (на честь популярної в той час утиліти WinNuke) і активно використовувалися в ході мережевих воєн користувачів онлайн-чатів. З'явився навіть спеціальний дієслово - «нюкнути». Багато «нюків» мали можливість проводити відразу кілька видів атак, а їх інтерфейс був зрозумілий навіть найбільш недосвідченим користувачам.

Що цікаво, DoS-атаку можна здійснити і на свій власний комп'ютер, викликавши його зависання або перезавантаження. Невдачливим юзерам, які завантажили нову «нюку» і бажають негайно її випробувати, не розуміючи суті роботи програми, нерідко радили ввести 127.0.0.1 (адреса локального комп'ютера) в полі адреси атакуючої машини, що робило атакуючого жертвою власних дій.

DoS-атаки не обов'язково здійснювалися з використанням спеціальних утиліт. Для цього нерідко застосовувалися і штатні інструменти, що входять до складу операційної системи, такі, наприклад, як відома будь-якому комп'ютернику команда ping.

DDoS-атаки стали подальшим розвитком DoS-атак. У випадку з DDoS атакуючий сервер піддається впливу з боку великої кількості комп'ютерів або інших мережевих пристроїв одночасно, що дозволяє значно підвищити інтенсивність атаки і викликати відмову навіть великих і добре захищених систем.

Саме з такою розподіленою атакою і зіткнувся сервер Університету Міннесоти 22 липня 1999 року, коли 114 заражених Trinoo комп'ютерів почали масово відправляти на нього UDP-пакети.

Стандартна атака з використанням бот-мережі, як у випадку з Trinoo, здійснюється наступним чином. На першому етапі атакуючий формує ботнет - мережу, що складається з зомбі-комп'ютерів, заражених спеціальною шкідливою програмою.

Зараження може здійснюватися різними способами: починаючи від банальних листів з троянами і закінчуючи мережевими черв'яками, здатними самостійно знаходити вразливі пристрої і впроваджуватися в систему. Інфіковані комп'ютери передають свої дані в контрольний центр ботнету і очікують подальших команд.

Після того як ботнет успішно сформований, атакуючий через контрольний центр передає вказівку почати атаку, в результаті чого заражені машини запускають процес відправки відповідних пакетів на цільовий сервер, прагнучи викликати його відмову або ускладнити його роботу.

Атака на сервер Університету Міннесоти, стала першою в цілій низці DDoS-атак з використанням Trinoo. Через півроку, на початку 2000 року, аналогічних атак зазнали вже куди більш захищені сервери, що належать таким «монстрам», як CNN, Amazon, eBay і Yahoo. Керував нападами канадський хакер під псевдонімом Mafiaboy, який створив значну зомбі-мережу.

Наступним ботнетом, що прийшов на зміну Trinoo, став MyTobworm. Створений 18-річним хакером мережевий хробак швидко поширився по світу і дозволив здійснювати успішні атаки на найбільші мережеві ресурси того часу.

Як це нерідко буває, перші DDoS-атаки відбувалися з цікавості або хуліганських спонукань і не були спрямовані на отримання вигоди. Однак вони швидко припали до смаку мережевим здирникам, і незабаром на їх основі сформувався цілий сегмент кримінального бізнесу.

Схема гранично проста: зловмисники атакують великий сайт, викликаючи перебої в його роботі, і відправляють його власникам лист з вимогою викупу. З урахуванням того, що простій великого комерційного ресурсу обходиться його власникам в круглу суму, а захист від масованої DDoS-атаки - справа вельми непроста, власники нерідко воліють відкупитися від настирливих хакерів.

Природно, вимагання - лише один з напрямків використання DDoS-атак. У наші дні вони стали прикладним інструментом у процесі злому комп'ютерних систем, знаряддям у конкурентній і політичній боротьбі, їх застосовують хактивісти і навіть школярі, які успішно виводять з ладу електронні щоденники для того, щоб батьки не змогли побачити їх оцінки.

DDoS-атаки можуть використовувати найрізноманітніші техніки. Так, один з найбільших ботнетів, призначених для DDoS-атак, під назвою Mirai складається з сотень тисяч заражених розумних пристроїв, зокрема домашніх і офісних IP-камер.

Масове зараження розумних пристроїв нерідко відбувається через те, що їхні власники після покупки залишають дефолтні логіни і паролі. Отже, якщо ви не хочете, щоб ваша IP-камера жила подвійним життям і потай від вас намагалася завалити сервер по інший бік океану, не лінуйтеся придумати пароль складніше, ніж стандартна комбінація «admin-admin».

Втім, DDoS-атаки не обов'язково пов'язані з ботнетами, вони можуть здійснюватися і вручну. Як правило, для цього використовуються спеціальні програми, спадкоємці тих самих «нюків» з 90-х. Сотні, а іноді і тисячі користувачів одночасно запускають утиліту, вбивають адресу жертви, і результат не змушує себе довго чекати. На деяких інтернет-форумах і пабліках у соцмережах спеціально створюються гілки, призначені для координації ось таких «ручних» DDoS-атак.

Іноді трапляються і ненавмисні DDoS-атаки. Це відбувається, коли хтось розміщує на якомусь популярному ресурсі посилання на цікаву статтю або сторінку, розташовану на не дуже потужному сервері. Тисячі людей переходять за посиланням і... сервер падає, не зумівши впоратися з напливом відвідувачів.

За останні 20 років DDoS-атаки пройшли складний еволюційний шлях. Зростання пропускної здатності каналів зв'язку і продуктивності серверів спричинило збільшення інтенсивності атак. Експерти реєструють все нові рекорди, а ботнети нарощують свою міць, поповнюючись тисячами зомбі-пристроїв.

З'явилися і по-справжньому тривожні дзвіночки, такі як атаки на кореневі DNS-сервери, здатні в глобальному масштабі порушити роботу системи адресації в Інтернеті, а за певних умов залишити без зв'язку цілі країни.

DDoS-атакам неодноразово пророкували смерть, але вони не здають своїх позицій. У наші дні в мережі існують хакерські угруповання, що спеціалізуються виключно на здійсненні подібних атак і за певну винагороду пропонують свої послуги всім бажаючим.

Незважаючи на уявну простоту подібних атак, вони становлять серйозну загрозу нормальному функціонуванню інтернет-інфраструктури, збільшують навантаження на канали зв'язку і щорічно стають причиною мільйонних збитків для світової економіки. Сьогодні в більшості країн світу передбачена адміністративна або кримінальна відповідальність за здійснення DDoS-атак, але розраховувати на виправлення ситуації поки не доводиться.

Чи зникнуть DDoS-атаки в найближчі десятиліття? Швидше за все ні, вони давно вже стали невід'ємною частиною сучасного інтернету. Джинн випущений з пляшки, і ми навряд чи заженемо його назад.

Зате ми можемо знизити комерційну привабливість цього злочинного бізнесу, захистивши свої комп'ютери і розумні пристрої від троянів, які прагнуть залучити їх в ботнет. Ще важливо не виплачувати викуп зловмисникам, тим самим підриваючи економічну основу їх діяльності.

Сервер Університету Міннесоти перебував під атакою протягом лише декількох днів. Адміни не спали ночами, налаштовуючи мережеві фільтри, копаючись у логах і стукаючи у свої адмінські бубни. У підсумку вони перемогли і спокійно вирушили спати. Але наслідки цієї атаки порушують сон фахівців з кібербезпеки вже 20 років.