מה זה מתקפת מניעת שירות- DDoS?
מתקפת DDoS, או מתקפת מניעת שירות בשמה העברי, היא שם למשפחה של תקיפות הסייבר המשביתות מערכות מחשב על ידי יצירת עומס תנועה חריג.
מתקפות מסוג אלה אינן חדשות, כאשר הראשונה הידועה התרחשה ב-1996 כאשר חברה בשם PANIX, ספקית שירות אינטרנט הוותיקה ביותר, הושבתה לימים ארוכים בגלל הצפת SYN, שיטה שהפכה להיות ל-DDoS קלאסית.
מאז 1996, הפופלריות של המתקפה גברה באופן אקספוננציאלי, והיא הפכה להיות אחד מאיומי הסייבר המשמעותיים ביותר שמולם חברות מתמודדות, וגם הנפוצים ביותר- על פי מחקר של radware בשנת 2022, רק בחצי שנה הראשונה הייתה עלייה של 203% במתקפות דידוס לעומת אותה תקופה בשנה שקדמה לה.
איך מתקפת DDOS עובדת?
כל שרת בנוי כדי לקלוט ולהגיב לבקשות, ומתקפת מניעת שירות מנצלת בדיוק את זה בכך שהיא מציפה את השרת בכל כך הרבה בקשות שהוא לא יכול לעמוד בעומס.
כדי ליצור את העומס האקרים יוצרים רשת של מכשירים המחוברים אחד לשני ונתונים לשליטתם. האקרים יכולים לטרגט כל מכשיר שמחובר לאינטרנט ונדבק ב-MALWARE, ממחשבים ופלאפונים ועד למקררים ומערכות אבטחה ביתיות. מכשירים אלה יכולים לעבוד כרגיל כך שבעלי המכשיר אפילו לא מודעים לזה שהפלאפון שלהם צורף ל"צבא בוטים" בעל כורחו.
חולשת ה-LOG4J שצצה בתחילת 2022 העלתה את החשש שניתן לנצל את הפגיעות הקריטית הזו להפיכת מכשירים לבוטים, מה שיכול להתגלות כאסון לאור השכיחות הגבוהה של מערכת ה-LOG4J.
גם לאדמין של הרשת לא קל לזהות בוטים- לכל אחד מהם כתובת IP לגיטימית וכאשר מתקפת מניעת שירות מתרחשת קה לזהות מהיכן החלה.
DDoS vs DoS
במתקפת DOS, האקר משתמש בחיבור אינטרנט יחיד כדי לנצל פגיעות בתוכנה או להציף יעד עם בקשות מזויפות – בדרך כלל בניסיון למצות משאבי שרת.
מצד שני, DDOS מנצלת מכשירים מחוברים מרובים הנפרצים דרך האינטרנט. בדרך כלל קשה יותר להסיט את התנועה בגלל המקורות הרבים. בניגוד לתקיפות DOS המגיעות ממקור יחיד, התקפות DDOS נוטות לכוון לתשתית הרשת בניסיון להרוות אותה בכמויות אדירות של תנועה.
סוגי מתקפת DDoS
3 דרכים עיקריות כדי להציף את השרת בבקשות ולהעמיס עד השבתה:
התקפה על שכבת האפליקציה- Application-layer attacks
כאשר אתם מקלידים כתובת אתר אינטרנט, כמו EBAY, אתם בעצם מבקשים מהשרת לעלות לכם את העמוד. ברכיב זה מתמקדים ההאקרים הבוחרים להשתמשה במתקפה מסוג זו- הבוטים מעמיסים על השרת בקשות שכל משתמש רגיל יכול לבצע, אך לא בכמות או פרק זמן קצר כל כך:
- העלאה של URL ספציפי
- העלאה של תמונה מסוימת בתוך העמוד
- בקשה של מסמכים באמצעות פרוטוקול GET (שיטה נפוצה לשליחת בקשות ב-HTTP)
- בקשה לריענון העמוד מחדש
התקפת פרוטוקול- Protocol attacks
ניצול חולשה ברמת הרשת, התקפה מסוג זו שולחת בקשות התחברות ראשונית (SYN). ההתקפה גורמת להצפה משום שהשרת חייב לענות לבקשות ה-SYN באחד מהדרכים הבאות:
- אישור בקשת ההתחברות
- שולח תגובה להשלים את תהליך ההתחברות
- המתנה לתשובה משולח הבקשה
- התרסקות בעקבות המתנה ליותר מדי תגובות
מתקפת ווליום- Volumetric attacks
מרכיב 50% מכלל התקפות ה-DDoS, מתקפה מסוג זו מציפה את רוחב הפס ומשביתה את השרת בגל חוסר במקום פנוי. אחת המתקפות הנפוצות בסוג זה היא מתקפה DNS.
ה-DNS, מערכת השומרת את כל הדומיינים, היא כמו ספר הטלפונים של האינטרנט. מתקפת DNS שולחות בקשות בעלות נפח מידע גדול מאוד לשרת, אך במקום לבקש שהמידע הזה יגיע ל-IP של המבקש (הבוטים/ האקרים) הם מבקשים שהמידע יגיע לשרת, ובכך מציפים אותו במידע.
התגוננות מפני מתקפת DDoS
הפחתת שטח ההתקפה- עליכם לוודא שהשטח החשוף להתקפות DDoS הוא מינימלי, וזאת על ידי שימוש ב-CDN, השומר את תוכן האתר שלך על שרתים אחרים, ובכך מוודא שתנועת הבוטים הרבה לא תגיע לשרת הראשי שלך ותפזר את התנועה החשודה בין שאר השרתים כך שהאתר לא קורס במקרה של מתקפת DDoS. בנוסף, ניתן לשתמש גם ב-FIREWALLS או ב-ACL כדי לשלוט באיזה תנועה מגיעה לשרת.
זהו סימנים של מתקפת DDoS-
- כתובות IP חשודות- אם בקשות לשרת שלכם מגיעות ממקומות שלרוב אין הרבה תנועה מהם, או כולם מקובצים במקום אחד
- עלייה חדה בכמות התנועה- בקשות רבות באינטרוולים קבועים ותדירות גבוהה
- ביצועים נמוכים- אתר שעולה באיטיות
- השבתה חוזרת של אתר אינטרנט
שימוש במערכות הגנה– פתרונות IDS נועדו לאתר בקשות חריגות וניצול לרעה של פרוטוקולים. מערכות אלה יכולות לעובד בשילוב על חומות אש, WAF, אך צריכות את הניטור של מומחי אבטחת מידע.
קביעת מגבלת בקשה– קבעו מכסה לכמות הפעמים שמשתמש יחיד יכול להתחבר לשרת. פחות מתאים לאתרים בשימוש גבוה המספקים שירותים חיוניים, כמו בנקים וחברות כרטיסי אשראי.
