Sieć Orange Polska regularnie jest celem ataków Distributed Denial of Service. kilka ponad pół roku temu informowaliśmy o najsilniejszym ataku tego typu, ale to już historia. Kolejny rekordowy atak DDoS miał miejsce w… Wigilię Bożego Narodzenia, 24 grudnia. Tym razem symboliczny licznik dotarł do 1,5 terabita na sekundę.
DDoS to jeden z tych typów zagrożeń, które przez lata były traktowane jako „problem kogoś innego”. Dopóki atak nie uderzy bezpośrednio w usługę, klienta albo krytyczny element infrastruktury – łatwo go bagatelizować. Tymczasem ostatnie lata – a w szczególności miesiące – dowodzą, iż skala i brutalność ataków wolumetrycznych rosną szybciej niż świadomość zagrożeń.
Rekordowy atak DDoS w Wigilię
Data, którą napastnicy wybrali na rekordowy atak DDoS nie była przypadkowa. Okres świąteczny to tradycyjnie moment obniżonej czujności oraz funkcjonowania operacyjnych zespołów cyberbezpieczeństwa w ograniczonych składach. Pamiętajmy też o dużym obciążeniu sieci ruchem „legalnym”.
Odnotowany atak osiągnął poziom 1,5 Tbps / 134,5 Mpps. Te liczby same w sobie obrazują zmianę w krajobrazie DDoS-ów. Nie mówimy już o incydentach, które „zapychają łącze klienta”. To są już wolumeny, które w przypadku braku odpowiedniej ochrony mogą stanowić realne zagrożenie dla infrastruktury operatorskiej.
Celem ataku był pojedynczy adres IP. To istotny szczegół wskazujący, iż w praktyce celem mógł być dowolny pojedynczy użytkownik sieci funkcjonujący za tym adresem. Taki model ataku pokazuje, iż dziś ofiara nie musi posiadać własnej infrastruktury ani publicznych usług, aby stać się celem.
Klasyczny DDoS wolumetryczny
Z technicznego punktu widzenia był to klasyczny atak wolumetryczny, którego celem było wyczerpanie dostępnej przepustowości. Zastosowano jednocześnie kilka technik: IP Fragmentation, Total Traffic Flood, DNS Flood, UDP Flood, NetBIOS Amplification.
Wspominany na wstępie drugi co do wielkości atak DDoS na naszą sieć, który miał miejsce w maju mijającego roku, potwierdza, iż nie mamy do czynienia z odosobnionym incydentem. To element szerszego trendu. Ataki liczone w setkach gigabitów są już codziennością, a – jak widać – atakującym zdarza się uderzać z mocą terabitów na sekundę. Co więcej – tak silne ataki przestają być domeną globalnych graczy i coraz częściej pojawiają się w sieciach krajowych.
Paradoksalnie mimo rosnącej skali DDoS-y wciąż nie są postrzegane jako jedno z kluczowych zagrożeń. Dlaczego? Ponieważ:
- nie prowadzą do kradzieży danych
- nie szyfrują systemów
- nie zostawiają artefaktów na systemach
- po skutecznej mitygacji „nic się nie stało”
I te błędne założenia warto zmienić. Warto traktować te ataki jako istotne dla internetu.
Z perspektywy użytkownika sieci taki atak często pozostaje niezauważalny – po prostu „nic się nie stało”. Usługi działają, nie ma przerw ani komunikatów. Ale to właśnie jest najlepszy dowód, iż zespoły bezpieczeństwa po stronie operatora wykonały swoją pracę, a ochrona zadziałała, powstrzymując rekordowy atak DDoS. Brak wpływu nie oznacza braku ataku. Dowodzi jedynie, iż po stronie operatora wdrożona została odpowiednia architektura, przygotowane narzędzia, a za komputerami siedział zespół, który wie, co robi.
Jednocześnie trzeba pamiętać, iż każdy atak jest inny. DDoS to nieustannie zmieniający się krajobraz, który wymaga ciągłej obserwacji, analizy i dostosowywania się do nowych technik oraz rosnących wolumenów.
