Get best of the week

الحرمان من نوع الخدمة: كيف يتقدم DDoS

DDoS قديم جيد ... نحلل كل عام كيف يتغير هذا الجزء من الجرائم السيبرانية ، ووفقًا لنتائج الماضي وبداية هذا العام ، نرى أن عدد هذه الهجمات قد زاد بأكثر من 1.5 مرة. خلال هذا الوقت ، زاد المهاجمون بشكل كبير من قوة الهجمات وتغيير التكتيكات. بالإضافة إلى ذلك ، أصبح DDoS أكثر سهولة في الوصول إليه: إذا حكمنا من خلال مدى حدة زيادة عدد الهجمات على الموارد التعليمية ومختلف "اليوميات الإلكترونية" مؤخرًا ، فإن قراصنة المدرسة يكتشفون بشكل متزايد عالم DDoS. في هذا المنشور ، سنتحدث عن هجمات DDoS التي سجلناها في عام 2019 وفي بداية عام 2020 ، وكيف تغيرت خدمة DDoS مؤخرًا.



سريع وقوي


سارعت القراصنة. الهجمات منخفضة الطاقة التي تستمر عدة أيام لا تهمهم الآن. على سبيل المثال ، استمر أطول هجوم لفترة التقرير حوالي يوم واحد (قبل عام ، قام المهاجمون بتعذيب الخادم لمدة 11 يومًا و 16 ساعة).

بالطبع ، لم يخفف المهاجمون من قبضتهم - على عكس المدة ، زادت قوة هجمات DDoS. تم تنفيذ أقوى هجوم خلال الفترة الماضية بكثافة 405 جيجابت / ثانية. هذا ، بالطبع ، أقل بقليل من الهجوم القياسي لطراز 2018 (450 جيجابت / ثانية) لشبكة Rostelecom ، ولكن في المتوسط ​​، لا تزال مؤشرات DDoS للطاقة تزداد. يمكن تفسير التغيير في تكتيكات القراصنة بحقيقة أنه خلال الهجوم ، يمكن للمدافعين الكشف عن برامج الروبوت ، وهي أصول قيّمة. بعد تحييد الهجوم ، تصبح بيانات عنوان botnet متاحة لمشغلين آخرين كجزء من تبادل المعلومات ، ولم تعد البوت نت مناسبة. إذا هاجمت الضحية بسرعة بموجة قوية من الطلبات ، فإن خدمة مكافحة DDoS ببساطة ليس لديها الوقت لملء القائمة السوداء.

DDoS Technologies - آرسنال جديد


للقيام بالسباقات مع انفجارات حركة المرور الزائفة ، تحتاج إلى قاعدة تقنية جيدة. ومؤخرا ، قام المهاجمون بضخها بشكل جيد. لفتنا الانتباه إلى ظهور مكبرات صوت قوية جديدة ، والتي بدأ استخدامها بنشاط في هجمات DDoS.

أولاً ، هو بروتوكول Apple Remote Desktop المستند إلى UDP (منفذ UDP 3283) ، وعامل التضخيم 35.5: 1 (بيانات Netscout). Apple Remote Desktop هو تطبيق إدارة عن بُعد لمحطة عمل macOS. يصل ARMS (خدمة الإدارة عن بُعد من Apple) إلى منفذ UDP مفتوح دائمًا في محطات العمل التي تعمل بنظام macOS عند تمكين وضع الإدارة عن بُعد ، حتى إذا كان يتعارض مع إعدادات الأمان على جدار الحماية. اليوم ، تم تسجيل أكثر من 16 ألف جهاز كمبيوتر يعمل بنظام macOS مع منفذ UDP مفتوح في الشبكة العالمية.

كما يستخدم المجرمون الإلكترونيون بنشاط بروتوكول اكتشاف جهاز WS-Discovery (اكتشاف خدمات الويب الديناميكي) المستخدم في حلول إنترنت الأشياء. عامل التضخيم هو 500: 1. مثل Apple Remote Desktop ، يرسل WS-Discovery الحزم باستخدام البروتوكول المستند إلى UDP ، والذي يسمح للمتسللين باستخدام انتحال الحزم (انتحال عنوان IP). أحسب BinaryEdge حوالي 630 ألف جهاز مع هذه الثغرة على الإنترنت (بيانات سبتمبر 2019). استفد - لا أريد!

لا تنسى إحدى الأدوات الرئيسية لـ DDoS - botnets من أجهزة إنترنت الأشياء. أقوى هجوم ذكي سجلناه كان في 2019: 178 Mpps ضربت إحدى شركات المراهنة. استخدم المهاجمون الروبوتات من 8 آلاف جهاز حقيقي: أجهزة التوجيه المنزلية والكاميرات وإنترنت الأشياء الأخرى ، بالإضافة إلى الهواتف المحمولة. لا أود أن أحيل الضغط ، ولكن هناك شعور واضح بأن 5G و IPv6 سيجلبان لنا "سجلات" جديدة.

أنواع الهجوم الأكثر شعبية


بشكل عام ، لا تزال الفيضانات UDP هي الطريقة الأكثر شيوعًا لهجمات DDoS - حوالي 32 ٪ من إجمالي حجم الهجمات. في المركزين الثاني والثالث - SYN الفيضانات (27.4٪) والهجمات بالحزم المجزأة (14.2٪). ليست بعيدة عن القادة هجمات تضخيم DNS (13.2٪).

يختبر المهاجمون أيضًا البروتوكولات التي نادرًا ما تستخدم حاليًا - 16 (CHAOS) و 111 (IPX عبر IP). ومع ذلك ، فإن مثل هذه الهجمات هي على الأرجح استثناء: حيث لا يستخدم العملاء هذه البروتوكولات في الحياة الواقعية ويمكن اكتشافها وإسقاطها بسهولة عند قمع الهجمات.

من بين الهجمات غير العادية في العام الماضي ، يمكن ملاحظة ما يسمى "تفجير السجاد". وتتميز بخرق أهداف في مساحة عنوان الضحية والبحث عن أضعفهم. وهذا يعقد الكشف عن مثل هذه الهجمات والتصدي لها في نموذج حماية IP ، عندما تكون عناوين IP الفردية فقط محمية وليس البنية التحتية للإنترنت بأكملها. تضمنت "تفجيرات السجاد" التي سجلناها أكثر من 3 آلاف هدف تقريبًا - تمت تجربة كل عنوان لجميع شبكات عميل واحد.

في الآونة الأخيرة ، بدأ المهاجمون في الجمع بين أنواع مختلفة من الهجمات. مثال على كوكتيل DDoS هو انعكاس SYN + ACK. في هذا النوع من الهجمات ، يتم استخدام الموارد العامة للجهات الخارجية ، والتي يتم إرسال حزمة SYN إليها مع عنوان ضحية مزيف كمصدر. تستجيب خوادم الطرف الثالث بحزمة SYN + ACK إلى الضحية التي يعاني تكدس TCP من معالجة الحزم التي تصل خارج أي جلسة. لاحظنا وضعًا كان فيه كلا الطرفين - كل من الضحية وموارد الطرف الثالث المستخدمة في التفكير - عملاءنا. بالنسبة للأول ، بدا وكأنه انعكاس SYN + ACK ، بالنسبة للأخير كتدفق SYN.

الضحايا الجدد والقدامى


أول كلمتين حول منهجيتنا. نظرًا لأن هذه الدراسة تستند إلى بيانات عن الهجمات على عملاء خدمة Rostelecom Anti-DDoS ، عند تحديد الصناعات الأكثر تعرضًا للهجوم ، فإننا نشكل شريحتين تحليليتين:

  1. التوزيع البسيط لإجمالي عدد الهجمات المسجلة حسب الصناعة ،
  2. متوسط ​​الزيادة في عدد الهجمات لكل عميل في الصناعة. يزيل هذا المؤشر الخطأ المحتمل المرتبط بزيادة عدد العملاء من صناعة معينة (وبالتالي ، زيادة في عدد الهجمات المسجلة).

فماذا رأينا.

حسب الصناعة


كما ذكر أعلاه ، فإن عدد هجمات DDoS آخذ في الازدياد. حتى إغلاق عدد من الضغوطات الهامة ، وفي الواقع ، خدمات تنظيم DDoS (Quantum Stresser ، ExoStress.in ، QuezStresser.com ، إلخ) ، لا تؤثر على هذه الديناميكيات. DDoS لا تزال رخيصة وسهلة بما فيه الكفاية. وقعت ذروة الهجمات في أكتوبر 2019 ، عندما كانت المتاجر عبر الإنترنت تستعد للجمعة السوداء. أصبح DDoS في ذلك الوقت هو نفس التقليد مثل "خصومات تصل إلى 90٪". في الوقت نفسه ، يتم مهاجمة لاعبين كبار في السوق باستخدام الهجمات المستهدفة متعددة الناقلات - بالتأكيد.

لا تزال صناعة الألعاب رائدة في DDoS: فهي تمثل 34٪ من إجمالي عدد الهجمات (مقابل 64٪ في 2018). هذا لا يعني أن المتسللين فقدوا الاهتمام بالألعاب - لم ينخفض ​​عدد الهجمات على الجزء ، ولكن نظرًا لظهور ضحايا جدد ، فقد "تآكلت" حصة هذه الصناعة.

ومع ذلك ، لا تزال الرياضة الإلكترونية ككل أمرًا شاقًا. تستخدم بروتوكولات اللعبة UDP كوسيلة نقل. هذا لا يسمح فقط باستبدال عناوين المرسل ، ولكنه يجعل أيضًا من الصعب تتبع الجلسات. خلال الفترة المشمولة بالتقرير ، لاحظنا نوعين رئيسيين من هجمات DDoS على مستوى التطبيق على خوادم الألعاب. تحقق الأولى عدم إمكانية الوصول إليها من خلال إرسال عدد كبير من الحزم التي تبدو ، بالنسبة لخدمة حماية تابعة لجهة خارجية ، كحزم شرعية. وتستند الحماية من مثل هذه الهجمات إلى تصنيف حركة المرور المشروعة وتدابير مثل التعبير العادي والاستجابة للتحدي.

النوع الثاني مرتبط باستغلال نقاط الضعف المحددة في بروتوكولات اللعبة والمنصات. في هذه الحالة ، تتطلب الحماية الاستباقية فئة مختلفة من الأجهزة - جدار حماية تطبيق اللعبة. تحاول الشركات والمصانع الكبيرة التي تستضيف الألعاب حماية الخوادم من خلال تضمين عمليات فحص مختلفة في برامج عملائها وربطها بأنظمة حماية مطورة بشكل مستقل.

احتلت شركات الاتصالات المرتبة الثانية في الشعبية ، ونمت حصتها في إجمالي حجم الهجمات بشكل كبير: من 10٪ إلى 31٪. كقاعدة عامة ، هؤلاء هم مزودو خدمة الإنترنت الإقليميون الصغيرون ، ومراكز الاستضافة والبيانات المختلفة التي لا تملك الموارد لصد الهجمات القوية ، حتى يصبحوا ضحية سهلة للمتسللين.

بالإضافة إلى الاتصالات ، لفت المهاجمون الانتباه إلى المؤسسات التعليمية والقطاع العام. في السابق ، كانت حصتها في الحجم الإجمالي لهجمات DDoS 1٪ و 2٪ على التوالي ، لكنها زادت على مدار العام إلى 5٪ لكل مقطع. نعزو ذلك إلى الرقمنة وإطلاق موارد الإنترنت الخاصة بنا ، والتي تعتمد عليها أنشطة هذه المنظمات بشكل متزايد ، خاصة خلال فترة العزلة الذاتية.

في القطاعات الأخرى دون تغييرات كبيرة:



الهجمات لكل عميل


لقد تسارع متوسط ​​الزيادة في عدد الهجمات لكل عميل بشكل ملحوظ. إذا كانت النسبة في عام 2018 تبلغ 21٪ ، فإن نتائج عام 2019 وبداية عام 2020 وصلت إلى 58٪. وقد أظهرت المؤسسات التعليمية أكبر زيادة في عدد الهجمات لكل عميل - 153٪. هذه مذكرات إلكترونية ومواقع ذات مهام ومسابقات - كل هذا يمنع الطلاب من الاستمتاع بالحياة. من المحتمل أن يكون بادئو مثل هذه الهجمات غالبًا قراصنة الأم ، الطلاب أنفسهم ، مما يثبت مرة أخرى بساطة تنظيم DDoS على هذه الموارد غير الآمنة مثل مواقع المدرسة ، على سبيل المثال.

نمو الهجمات على عميل واحد:


ماذا أفعل


سيزداد عدد هجمات DDoS ، وستظهر مكبرات الصوت الجديدة وأنواع الهجمات والأهداف الجديدة للمهاجمين بشكل طبيعي. لكن ، كما يقول قانون نيوتن الثالث ،
هناك معارضة لكل  عمل.

طرق الوقاية من DDoS معروفة - ستكون هناك رغبة في معالجة هذه المشكلة أخيرًا. من أجل عدم إنتاج شبكات الروبوت الخاصة بإنترنت الأشياء: القضاء في الوقت المناسب على نقاط الضعف على جميع أجهزتك ، ومنافذ التحكم وعدم استخدام IPv6.

لتكوين الحماية بشكل صحيح في ظروف نواقل الهجوم المتغيرة بسرعة: استخدم خيارات معدة مسبقًا لمواجهة أنواع معينة من الهجمات المعروفة والتحقق بانتظام من البنية الأساسية الخاصة بك.

بشكل عام ، يمكن ملاحظة أن المشاكل الحالية في مجال DDoS مترابطة بشكل ما. لذلك ، من الضروري حماية التطبيقات والبنية التحتية ، لا سيما قطاع الأعمال الحرج ، بشكل شامل ، في مراحل التصفية المختلفة.

More articles:


All Articles