Standardní DoS útok probíhá z jednoho stroje, a proto není tak ničivý. Avšak jeho odvozenina DDoS (Distributed Denial of Service) probíhá z velkého množství ovládaných strojů nebo zařízení a jeho následky mohou být katastrofální. Útočníci si svou síť ovládaných zařízení budují pomocí dalších útoků a infekcí. Neomezují se jen na klasické počítače, ale jejich otroky se mohou stát i další zařízení jako například IP kamery, dětské chůvičky a další IoT věci připojené k internetu. A bohužel velmi často se slabým nebo zcela bez zabezpečení.

Existují různé způsoby měření velikosti útoku L3 / 4 DDoS. Jedním z nich je objem provozu, který poskytuje, nebo jeho „bitrate“ (měřeno v gigabitech za sekundu). Dalším je počet doručených paketů nebo „rychlost paketů“ (měřeno v paketech za sekundu). Útoky s vysokými bitovými rychlostmi se pokoušejí nasytit síťová spojení cíle na poslední míli a útoky s vysokými paketovými rychlostmi se snaží přemoci směrovače nebo jiná hardwarová zařízení v cestě. Další veličinou, jež nás zajímá je trvání útoku. Zajímavostí je, že nejdelší zaznamenaný útok trval 509 hodin, což je skoro 21 dní.

Trendy v Q4

V posledním čtvrtletí loňského roku přišla společnost Cloudflare, která se mj. zabývá ochranou webových aplikací před DDoS útoky, s následujícími zjištěními:

• Počty útoků: Poprvé v roce 2020 se celkový počet útoků zaznamenaných ve 4. čtvrtletí snížil v porovnání se čtvrtletím předchozím.
• Trvání útoku: 73 % pozorovaných útoků trvalo méně než hodinu, což je pokles z 88 % ve 3. čtvrtletí.
• Vektory útoků: SYN, ACK a RST flood jsou stále dominantní, zajímavý je nárůst NetBIOS útoků o těžko uvěřitelných 5 400 %.
• Globální aktivita DDoS: Nejvyšší poměr útočných aktivit v porovnání s normálním provozem zaznamenala data centra na Mauriciu, v Rumunsku a v Bruneji.
• Nová taktika útočníků: Objevují se pokusy o vydírání hrozbou DDoS útoku (Ransom DDoS) se žádostí o výkupné v Bitcoinech.

Globální DDoS aktivity

Pro pochopení odkud útoky pochází je potřeba se podívat na statistiky hraničních datových center společnosti Cloudflare. Důvodem je fakt, že v případě L3/L4 útoku může útočník podvrhnout zdrojovou IP adresu ve snaze zakrýt původce útoku. V tomto reportu je měřen poměr útočného provozu v porovnání s provozem normálním v dané geografické lokalitě. Cloudflare může zajistit velkou přesnost těchto dat díky více než 200 data centrům ve více než 100 zemích po celém světě.

Ve 4. čtvrtletí lze pozorovat velmi zajímavý postřeh – nejvyšší poměr útočné komunikace byl zaznamenala datacentra na Mauriciu, v Rumunsku a v Bruneji. Konkrétně šlo o 4,4 % - 4,9 % veškerého provozu v daném státě. Pro názornější představu téměř 5 z každých 100 bajtů je součástí útočného provozu. Tato fakta značí zvýšené aktivity botnetů v těchto zemích.

Možná si kladete otázku, proč zrovna tyto 3 státy? Vysvětlení je možná překvapivé, podívejme se podrobněji si první dvě místa žebříčku:

• Mauricius – V tomto ostrovním státě došlo v srpnu 2020 při ztroskotání tankeru k obří ekologické havárii, při které uniklo do oceánu přibližně 4 000 tun ropy a byl zničen unikátní ekosystém. Jelikož je tím přímo ohrožen turismus, jenž je hlavním zdrojem příjmu pro většinu obyvatelstva, tak situace vyústila v protesty proti vládě volající po rezignaci premiéra. Ta je i po několika měsících nadále velmi nepřehledná, a to je podhoubím pro hackerské aktivity.
• Rumunsko – v případě tohoto evropského státu mohou být v pozadí dvě události, jež se odehrály v závěru roku 2020. První byly parlamentní volby, které končily 6. prosince. Navíc, 9. prosince EU oznámila, že Rumunsko bude hostitelem nového evropského výzkumného centra v oblasti kybernetické bezpečnosti (European Cybersecurity Industrial, Technology and Research Competence Centre - ECCC). Další možné vysvětlení je fakt, že Rumunsko je země s nejlevnějším super-rychlým připojením k internetu, což umožňuje vést z této země útoky s obřím množstvím dat.

Shrnutí

DDoS útoky stále zůstávají významnou hrozbou a ohrožením pro internetovou infrastrukturu. Jejich zdánlivý pokles mezi třetím a čtvrtým čtvrtletím loňského roku byl spíše vyvolaný výrazným zvýšením s počátkem pandemie Covid-19. Pochopením vývoje a vývojových trendů takovýchto útoků nám umožní včas přijmout obranná opatření, která je mohou částečně nebo zcela eliminovat.

Michal Hebeda Autor článku je Sales Engineer společnosti ZEBRA SYSTEMS.