Защита от DDoS в 2024: что важно знать о распределенных атаках типа отказ в обслуживании

В прошлых текстах мы рассказали, почему DDoS опасны для бизнеса и какие виды DDoS-атак существуют. По мере того, как ИБ-команды защищают веб-приложения от DDoS, злоумышленники начинают искать новые возможности для проведения распределенных атак типа отказ в обслуживании. 

Постепенно DDoS эволюционирует, поэтому в этой статье мы собрали 5 тенденций развития DDoS-атак:

➡️ много DDoS-атак проводится ботнетами, состоящими из IoT-устройств,
➡️ DDoS всё чаще становится частью сложных атак,
➡️ DDoS-хактивизм идет на спад,
➡️ хакеры активно пытаются взломать системы защиты от DDoS,
➡️ кроме DDoS стоит опасаться и паразитного бот-трафика.

Тенденция №1. Для проведения DDoS хакеры продолжают активно использовать умные устройства

Для проведения DDoS-атак злоумышленники продолжают создавать или арендовать ботнеты, состоящие из IoT-устройств. Зараженным может стать любой гаджет, который подключен к интернету: умная розетка, умный чайник, принтер, Wi-Fi-роутер, умные часы и так далее.

Это реально и происходит давно. Например, в одной из предыдущих статей мы рассказывали о масштабной атаке ботнетом Mirai в октябре 2016 года. Злоумышленники использовали ботнет из IoT-устройств для атак на крупнейшие интернет-сервисы. Подробнее читайте здесь.

Важно понимать — такая тенденция сохраняется. Хакеры используют умные устройства по нескольким причинам:

Масштаб. У умных устройств широкое распространение, ведь ими пользуется множество людей. Это позволяет хакерам собирать в ботнеты огромное количество гаджетов и организовывать масштабные DDoS, увеличивая поверхность атаки.

Уязвимости. У многих умных устройств слабые меры защиты и большое количество уязвимостей, поэтому их легко заразить и сделать ботами.

Эффективность. Умные устройства почти всегда подключены к интернету круглосуточно, поэтому их можно заразить и использовать в любое время — даже без физического доступа.

Тенденция №2. DDoS часто становится частью сложных атак

Cейчас DDoS часто становится звеном более сложной, масштабной атаки. DDoS используют для отвлечения внимания или в качестве первого этапа атаки, позволяющего проникнуть в сеть цели.

Например, с помощью DDoS-атаки злоумышленник может завалить WAF (Web Application Firewall) «мусорными» запросами и вывести его из строя, а затем взломать веб-ресурс. Подробнее о том, как WAF защищает от взлома, здесь.

Последствием таких сложных атак с использованием DDoS может быть кража данных, установка вредоносного ПО, кибершпионаж и так далее — в общем, приятного мало.

Тенденция №3. Хактивизм пошел на спад

Хактивизм — это форма протеста. Хакеры с помощью атак, в том числе DDoS, пытаются привлечь внимание общественности к определенным проблемам или конфликтам, а иногда и нанести урон неугодным организациям.

Хактивизм считается опасным видом DDoS, потому что такие атаки проводятся не ботнетами, а реальными пользователями, добровольно использующими вредоносные скрипты. Получается сеть несвязанных между собой легитимных IP-адресов, атаки которой тяжело блокировать. Особенно мощные атаки хактивистов были зафиксированы в 2022–2023 годах.

Действия хактивистов негативно влияют на доступность сайтов и приложений. Также атаки опасны для пользователей, которые могут быть заблокированы или лишены доступа к веб-ресурсам.

DDoS-атаки раньше часто использовались хактивистами для блокировки сайтов. Но в конце 2023 года экспертное сообщество заметило, что хактивизм пошел на спад. Во-первых, появились средства защиты от DDoS, позволяющие быстро отражать атаки подобного типа. Во-вторых, некоторые хактивисты перешли на новый уровень и стали реальными киберпреступниками.

Однако есть свидетельства, что «протестующие» хакеры становятся активнее в сезон выборов и во время других значимых событий.

Тенденция №4. Обход систем защиты как на уровне сети, так и на уровне приложений

Хакеры стали все чаще использовать распределенные методы DDoS-атак на уровне сети (L3), такие как атаки через множество точек присутствия (PoP) или через распределенные DNS-серверы. Это позволяет обойти системы защиты, которые могут блокировать IP-адреса.

Также злоумышленники ищут различные техники обхода защиты при проведении DDoS-атак на уровне приложений. Например, используют распределенные прокси-серверы, меняют заголовки запросов или маскируют атаки под легитимный трафик.

Тенденция №5. Кроме DDoS опасаться стоит и умных ботов

DDoS-атаки всегда были инструментом конкурентной борьбы — как в прошлые годы, так и в 2024. Все потому, что DDoS — самый простой и дешевый способ навредить чужому сайту. 

Отметим, что DDoS-атаки противозаконны и могут повлечь серьезные юридические последствия, в том числе уголовную ответственность.

Однако сейчас стало заметно, что для конкурентной борьбы всё чаще стали использовать автоматизированный низкочастотный HTTP-трафик, в том числе паразитный бот-трафик, который имитирует легитимных пользователей и атакует бизнес-функции и логику приложений.
 
Например, умные боты могут перебирать пароли на вход в систему, используя словари паролей, применяя методы брутфорса и другие техники. Так злоумышленник может получить несанкционированный доступ к аккаунтам пользователей или к финансовой информации.

У такой тенденции, есть закономерное объяснение. Дело в том, что компании часто сталкиваются с DDoS, и уже научились эффективно отражать такие атаки. А вот умные боты — это уже другая, более сложная история.

🧑‍💻 Узнать о DDoS больше можно в других наших статьях:

«Сайт упал: почему DDoS-атаки опасны для вашего бизнеса», где мы рассказали, что такое DDoS-атаки и при чем тут боты; какие последствия DDoS-атак могут быть; какие известные компании сталкивались с масштабными DDoS-атаками. 

«Мой сайт заддосили: какие бывают DDoS-атаки», где мы рассказали о прикладных, протокольных и волюментрических атаках типа отказ в обслуживании.