DDoS útoky přibývají a sílí. Firmy to stojí i miliony dolarů

Od prvního DDoS útoku uplynulo už 20 let a z ojedinělých případů se postupně stala hrozba, která je na denním pořádku. Navíc s vývojem technologií se zdokonalily i DDoS útoky – trvají déle, jsou intenzivnější a sofistikovanější. V článku jsme proto shrnuli trendy, kterými se DDoS útoky ubírají, a to jak po stránce četnosti a kvality, tak po stránce nákladnosti.

DDoS útoky jsou stále silnější.
Jan Můčka
  • Jan Můčka

  • 22. 07. 2019
  • 11 min čtení
Zkopirovat do schránky

Když v dubnu 2018 Europol uzavřel online službu Webstresser.org, která sloužila ke zprostředkování DDoS útoků, vypadalo to, že se blýská na lepší časy. Aby taky ne, na Webstresseru bylo registrováno více než 135 tisíc uživatelů, kteří si celkem objednali přes 4 milionu útoků.

Optimistické vyhlídky dávaly i statistiky za rok 2018, kdy útoky byly sice delší a intenzivnější, ale jejich celkový počet významně klesl. Výzkumníci z Kaspersky Lab poté prohlašovali, že trend bude pokračovat i v roce 2019, a že hackeři přechází k ilegální těžbě kryptoměn. Bohužel se ale mýlili. Už první zprávy z roku 2019 jasně ukazují, že nasazování růžových brýlí bylo předčasné.

Klesající trend z roku 2018 nevydržel

Zlepšující se ochrana webů a implementace nových technologií jde ruku v ruce s vývojem hackerských praktik, a tím přirozeně roste i kvalita DDoS útoků. Experti tak ani neočekávali, že by se tento trend obrátil. Ovšem odhady, že bude zároveň klesat i počet útoků, se ukázaly jako chybné.

Například report od Kaspersky Lab za první čtvrtletí 2019 ukázal, že se vrací trend vzrůstajícího počtu jednotlivých útoků. Oproti poslednímu čtvrtletí 2018 jich bylo o 84 % více. Nejvíce pak vzrostl počet útoků, které trvaly déle než hodinu, a to dokonce pětinásobně. Situace se tak výrazně zhoršila.

Srovnání počtu DDoS útoků v roce 2017 a 2018

Procentuální porovnání DDoS útoků

Trend delších a intezivnějších DDoS útoků pokračuje

Ještě větší problém než samotná kvantita útoků, je jejich intenzita a délka. Zatímco na začátku roku 2018 zabral jeden DDoS útok průměrně 95 minut, na konci roku to už bylo 218 minut. Celkem pětina útoků pak trvala přes 12 hodin, než weby definitivně zkolabovaly nebo útok ustal. Výjimkou však nebyly ani několikadenní útoky.

Ze zprávy Kaspersky Lab z prvního čtvrtletí 2019 navíc vyplývá, že tento trend nejen pokračuje, ale dokonce i zesiluje. Oproti konci roku 2018 se délka útoků zvýšila dokonce o 421 %.

Zaznamenáno bylo i velké množství krátkých útoků, které často trvaly jen několik málo sekund. Podle expertů hackeři takto testují svůj cíl a zjišťují, zda se jim vůbec vyplatí vyslat plnohodnotný útok.

Kromě délky se zvyšuje i intenzita. Za zmínku stojí zejména dva terabitové útoky z prvního čtvrtletí 2018. Na konci února 2018 zaznamenal GitHub rekordní DDoS útok o síle 1,35 Tb/s, čímž byl dosavadní nejintenzivnější útok překonán více než dvojnásobně. Titulem historického rekordmana se ale GitHub mohl “chlubit” jen několik dní. Hned 5. března Netscout Arbor potvrdil útok o síle 1,7 Tb/s na jednoho ze svých amerických klientů a tento rekord nejspíš nebyl dosud překonán.

Rekordní intenzita DDoS útoků od roku 2007

Srovnání různě velkých útoků v roce 2017 a 2018

Oba dva případy tak otevírají novou éru, kde se síla DDoS útoků posouvá o řád výše, tedy ze stovek Gb/s na jednotky Tb/s. Pro lepší ilustraci mají takto silné útoky přibližně stejnou, nebo dokonce větší přenosovou rychlost než celá aktivita na českém internetu ve večerní špičce.

Chraňte se před DDoS útoky

Nejlepším řešením je hardwarová anti-DDoS ochrana. V Master Internet takovou našim zákazníkům nabízíme. Zařízení Radware DefensePro v reálném čase odfiltruje nežádoucí provoz a uživatel ani nezaznamená, že se stal cílem útoku.

Anti-DDoS ochrana

Jak je vůbec možné takhle masivní útok zrealizovat? Výzkumníci se shodují, že hlavním předpokladem je zneužití špatně nakonfigurovaných memcached modulů na serverech obětí.

Memcached modul je služba, která umožňuje rychlejší vyřízení požadavků návštěvníků webu. Využívá totiž cachování v rámci operační paměti daného serveru. Používají ho i tak velké portály jako Facebook nebo Youtube. Nevýhodou však je, že pokud se služba špatně nakonfiguruje, může chyba zesílit DDoS útoky až 51 tisíckrát, přesně jako se to stalo u dosud největších DDoS útoků.

“Celkový počet serverů, které otevřeně používají memcached, jsou poměrně trvalou bezpečnostní skulinou, kterou budou hackeři čím dál více zneužívat,” předpokládá Carlos Morale, viceprezident obchodu Arbor Networks. Nelze tak očekávat, že by tyto terabitové útoky v budoucnu ustaly.

Trend zvyšující se intenzity potvrzuje i studie od Radwaru, která ukazuje, že oproti roku 2017 klesl v roce 2018 pouze počet menších útoků – do 10 Mb/s. Naopak procentuálně nejvýznamnější nárůst nastal u útoků nad 10 Gb/s. Průzkum společnosti Neurstar zase uvádí, že 86 % dotazovaných společností se v roce 2018 potýkalo s DDoS útokem, přičemž 45 % z těchto útoků mělo intenzitu přes 10 Gb/s.

Útoky velkého rozsahu přibývají

Meziroční srovnání útoků různé intenzity

Útoky hackerů se neustále vyvíjí

Jeden z prvních DDoS útoků se datuje k srpnu 1999. Útočník tehdy použil nástroj “Trinoo”, aby na Minnesotskou univerzitu vyslal UDP flood útok, čímž server přetížil a počítačová síť Minnesotské univerzity byla více než dva dny nedostupná.

Od té doby však uteklo hodně vody a proteklo ještě více dat. DDoS útoky se velice rychle staly oblíbenou metodou kyberzločinců a majitelé webů a serverů se museli začít bránit. Strhla se tak nekončící bitva o rozhodující náskok mezi hackery a bezpečnostními experty. 

Nejrůznější společnosti začaly vynakládat větší a větší částky na bezpečnost, takže bylo stále náročnější realizovat úspěšný DDoS útok. Jak ale asi správně tušíte, hackeři nehodili ručník do ringu a nevzdali se. Naopak se velmi pružně přizpůsobili a začali chytře zneužívat i nové typy protokolů, zabezpečení a využívat moderní technologie.

Příkladem může být nejen zneužití výše zmíněného modulu memcached, ale také třeba přechod na protokol HTTPS, který již na konci roku 2018 používalo přes 70 % webů a předpokládá se, že v roce 2020 to už budou téměř všechny weby.

Ačkoliv má HTTPS poskytovat větší ochranu soukromí, kvůli komplexnějšímu kódování aplikací nabízí i příležitost pro hackery, kteří v aplikační vrstvě dokáží lépe skrýt své útoky. Experti proto očekávají, že s rostoucím počtem HTTPS webů poroste i počet HTTPS flood útoků.

Právě HTTP/HTTPS flood útoky získávají podle Kaspersky Lab stále více na oblíbenosti. Společně se smíšenými typy útoků tvořily zhruba 80 % všech útoků v minulém roce a ani v roce 2019 to zatím nevypadá, že by byly na ústupu. Mezi další oblíbené typy útoků patří také IoT botnety, burst útoky, SSL útoky nebo multivector útoky.

Různé typy DDoS útoků

Burst útoky, jejichž počet by podle studií měl stoupat minimálně další dva roky, jsou založené na tom, že hackeři posílají velký počet několikasekundových útoků v nepravidelných intervalech. Útok je tak velmi složité vůbec identifikovat.

HTTP/HTTPS flood útoky se sice neřadí mezi ty nejsofistikovanější, ale rozhodně patří mezi ty nejčastější. Útočník při nich posílá obrovský objem HTTP GET paketů, aby svůj cíl přetížil. Výsledkem je většinou snížený výkon nebo nedostupnost vyhlídnutého webu či serveru.

IoT botnet útoky fungují tak, že hackeři nakazí velký počet IoT zařízení, z nichž pak v určitý okamžik pošlou útoky na vyhlídnutou stránku nebo server. Uživatelé nakažených počítačů často ani nezjistí, že se takto stali prostředníky DDoS útoku. Podle průzkumu od Radware zaznamenalo tento typ útoku 10 % dotázaných firem. Odhaduje se však, že skutečné číslo bude vyšší. Už jen proto, že pouze jeden ze šesti respondentů si uvědomoval, že i on se může stát terčem IoT botnet útoků.

Multivektor útoky by se daly označit za polymorfa DDoS útoků. Podle potřeby se totiž dokáží přeměňovat na takový typ útoku, který si nejlépe poradí s aktuálním bezpečnostním opatřením.

SSL útoky patří vůbec k těm nejsložitějším a ubránit se jim stojí mnoho peněz i úsilí. Útoky jsou vysílány během procesu ustanovení SSL spojení, kdy útočník vysílá velké množství dat na SSL server. O tom, že jejich oblíbenost stoupá svědčí to, že mezi lety 2017 a 2018 jejich počet stoupl o 13 %. Statisticky jsou tyto útoky nejčastěji mířené proti americkým společnostem, které čelí o 16 % většímu počtu útoků, než je světový průměr.

Video: Jak fungují různé typy DDoS útoků?

Pokud chcete vědět více o tom, jak se vyvíjí trendy ohledně DDoS útoků, jak přesně DDoS útoky fungují nebo jak se před nimi chránit, pusťte si vysvětlující video od společnosti Arbour Networks, která se DDoS útoky podrobně zabývá.

Hlavní motivace hackerů

Určitě by se našlo mnoho hackerů, kteří posílají DDoS útoky jen z čisté zvědavosti, a protože je zajímá, jak bude určitý server nebo web reagovat. Většinou však chtějí získat peníze, konkurenční výhodu nebo informace. Vůbec nejčastější motivací je vydírání a nutno poznamenat, že vyjednávací pozice útočníků je v takových případech poměrně slušná. Bránit se těm nejzákeřnějším DDoS útokům je velice nákladné a často se může zdát, že je výhodnější zaplatit.

Firmy tak reálně zvažují i tuhle variantu. Toho ale využívají i podvodníci, kteří ani nemají v úmyslu útok poslat. Stačí jim vydávat se za známou hackerskou skupinu a požadovat od dané společnosti peníze. Bohužel firmy často nejsou schopny rozeznat, co je skutečná hrozba a co jen planá výhružka a peníze podvodníkům zaplatí.

Celý tento ilegální byznys pak došel tak daleko, že hackeři v podstatě přebírají taktiky mafie a vybírají výpalné pod hrozbou DDoS útoku.

Častým důvodem je také spojení hackerství a aktivismu, tzv. hacktivismus, konkurenční boj mezi firmami nebo pomsta některého ze zaměstnanců. Všechny tyto důvody i jejich procentuální zastoupení, se však příliš od roku 2017 neliší, jediná kategorie, která podle průzkumů Radwaru narostla trojnásobně, je “neznámá motivace”. Pro majitele webů a serverů, a dokonce i pro bezpečnostní experty, je tak zjevně složitější objevit motiv hackerského útoku, což jen potvrzuje stále větší sofistikovanost kyberzločinců.

Motivace hackerů Procento ze všech DDoS útoků na světě
Vydírání 51 %
Hacktivismus 31 %
Neznámý motiv 31 %
Pomsta zevnitř 27 %
Konkurenční boj 26 %
Kybernetická válka 19 %
Nespokojenost  uživatelů 18 %
Bez zaznamenaných útoků 2 %

Motivace hackerů v roce 2018
Nejčastěji zasaženými odvětvími byla zejména infrastruktura a webové služby, a to jak v roce 2018, tak i na začátku roku 2019. Podle společnosti Positive Technologies, která se zabývá internetovou bezpečností, utrpěly největší škody státní agentury a službyvzdělávací instituce a IT společnosti.

Netečou jen bity, ale hlavně peníze

O tom, že je nutné brát DDoS útoky jako reálnou hrozbu svědčí i informace v Bulletproof’s Annual Cybersecurity Report, že jeden DDoS útok stojí malou firmu až 120 tisíc dolarů (cca 2,7 mil. Kč). Velké společnosti zaplatí dokonce až 2 miliony dolarů (cca 44,9 mil. Kč). 

Způsob, jakým různé společnosti o peníze přijdou, se případ od případu liší. Často se jedná o ušlý zisk e-shopů, o pokles příjmu za zhlédnutí, o náklady na snahu ubránit se nebo o výpalné. Například při zmiňovaném prvním terabitovém útoku na GitHub požadovali útočníci výkupné v kryptoměně Monero ve výši 50XMR (cca 308 tisíc Kč). Právě anonymita kryptoměn značně ztěžuje dopadení útočníků.

Z průzkumu Neustar pak vyplývá, že 63 % společností, které se v roce 2018 bránily DDoS útokům, zaplatily kolem 100 tisíc dolarů (cca 2,5 mil Kč) za hodinu trvání útoku. Zbylé společnosti dokonce přiznaly, že se jejich náklady blíží 250 tisícům dolarů (cca 5,6 mil Kč) za hodinu trvání útoku.

Radware se také ptal firem napříč regiony, zda si myslí, že jsou na DDoS útoky dostatečně připraveny. Z průzkumu vyšly jako nejsebevědomější severoamerické společnosti, z nichž 23 % tvrdí, že zvládnou DDoS útokům čelit. Skeptické jsou naopak firmy v Latinské Americe a Asii, které přiznaly, že by měly problém zejména s útoky, které by trvaly tři a více hodin.

A jak se DDoS útokům plánujete postavit vy?

DDoS útoky nechodí po horách, ale po webech a serverech. Namlouvat si, že zrovna vám se něco takového stát nemůže, jste mohli možná před 20 lety, kdy byly DDoS útoky ještě v plenkách. Jedinou možností, jak se s nimi vypořádat, je investovat čas a peníze do bezpečnosti. 

Ani to však nemusí stačit, jak ukázal případ GitHubu, který do obrany proti DDoS útokům investuje dlouhodobě. Nemohl ale počítat s tím, že zrovna na něj pošlou první terabitový útok v historii. 

Hledat definitivní bezpečnostní řešení, které vás navždy ochrání před všemi hrozbami, je s největší pravděpodobností nemožné. Proč to ale hackerům zjednodušovat? Navíc pokud nejste zrovna miliardová společnost, stát nebo vzdělávací instituce, pravděpodobně po vás nepůjdou zrovna ti nejlepší hackeři s terabitovým útokem.

Snadno se ale můžete stát trnem v patě místního dodavatele podobných služeb, který na vás pošle pár primitivních HTTP flood útoků, aby vám ve špičce shodil web. Nejspíše vás to nebude stát stovky tisíc dolarů jako velké IT společnosti, ale ztratíte několik klientů, což vám ve výsledku může způsobit i krach živnosti nebo podnikání. 

Pokud se chcete vyhnout nekalým praktikám hackerů nebo zkrátka jen nabízet svým zákazníkům stabilní a spolehlivé služby, můžete vyzkoušet naši doplňkovou anti-DDoS službu využívající zařízení Radware DefensePro, která si s běžnými DDoS útoky hravě poradí.

Líbil se vám článek? Ano / Ne