В текущем году компания Cloudflare зафиксировала две мощнейшие DDoS-атаки в своих сетях. Одна из них проводилась по типу SYN flood (самая популярная сейчас разновидность DDoS), другая была многовекторной, что представляет собой новейшее технологическое решение для хакеров.
По статистике «Лаборатории Касперского», в 2018 году атаки SYN flood, нацеленные на забивание каналов связи, уверенно держат первенство, с отрывом опережая прочие техники DDoS. Так, в I квартале на долю SYN flood пришлось 57,3% атак с ботнетов, во II квартале — 80,2%, в минувшем — 83,2%.
Для Cloudflare как опытного и заметного оператора подобные DDoS тоже не редкость; в текущем году большинство SYN-атак, по данным компании, исходит из стран Азии. Их мощность иногда достигала 600-650 Гбит/с — оператор крупнейшей CDN-сети с хорошо выстроенной обороной считает это нормой. Однако SYN flood, с которой провайдер столкнулся в апреле, по силе была, можно сказать, рекордной — ее мощность на пике составила целых 942 Гбит/с.
Атака к тому же имела необычайно широкий охват: она затронула все без исключения многочисленные датацентры Cloudflare, а источники мусорного потока были расположены по всему миру. В Cloudflare предположили, что генераторами вредоносного трафика являлись боты XOR DDoS (о котором АКБ ранее писало в связи с Mirai и их совместным «ребенком»).
Необычной оказалось и многовекторная атака, которую довелось отражать защитникам CDN-сети, тоже оказалась не совсем обычной: почти все техники, используемые DDoS’ерами, предполагали отражение и усиление мусорного трафика и применялись одновременно. В итоге суммарная мощность этих потоков на пике превысила 800 Гбит/с.
По наблюдениям Cloudflare, подобные многовекторные атаки появились совсем недавно, около двух месяцев назад, и скорее всего, за ними будущее. Хакеры, будто разуверились в эффективности одновекторных атак с усилением и решили массировать удары, нанося их сразу по всем фронтам. И действительно, DDoS с SSDP-плечом в сетях провайдера стали редкостью; их мощность не превышает 180 Гбит/с, а число IP-источников составляет 60-100 тыс. — они в основном расположены в России, Китае, США и Италии.
Хотя DDoS-атаки в 2018 году наносят крупнейший ущерб в истории , согласно исследованию «Лаборатории Касперского», более 30% российских компаний относятся спустя рукава к вопросам защиты от DDoS-атак.
Ранее эксперты компании Akamai также отметили, что в 2018 году мощность DDoS-атак удвоилась, зафиксирован новый рекорд атаки — 1,3 ТБ/с, в два с лишним раза превышающий мощность ботнета Mirai. Для этого хакеры используют методы амплификации атак, такие как memcached UDP reflection, которые вообще не требуют наличия готового ботнета.