В сегодняшнем обзорном выпуске мы рассмотрим, во-первых, наблюдения «Лаборатории Касперского» о тенденциях DDoS в минувшем году и прогнозе на будущее, а также тревожные свидетельства Imperva об атаках рекордной мощности, которые недавно зарегистрировали.
Итак, по итогам минувшего 2018 года, «Лаборатория Касперского» отметила снижение общего количества DDoS-атак на 13% по сравнению со статистикой за предыдущий период. При этом продолжительность смешанных атак и HTTP-флуда (когда атакующий бот генерирует большое количество HTTP-запросов к серверу жертвы) растет, а значит, злоумышленники обращаются к более сложным методам, заключают эксперты.
При этом, хотя количество атак уменьшается, анализ «Лаборатории Касперского» выявил, что средняя продолжительность DDoS-атаки растет. По сравнению с началом года средняя продолжительность атак увеличилась более чем в два раза – с 95 минут в первом квартале 2018 г. до 218 минут в четвертом.
По прогнозам лаборатории, более сложные атаки (например, через HTTP), которые требуют времени и денег, еще долго будут актуальными. Согласно отчету, HTTP-флуд и смешанные атаки с HTTP-компонентом составляют около 80% всего времени активности DDoS-атак в течение целого года.
Что касается результатов за четвертый квартал 2018 г., самая долгая DDoS-атака длилась 329 часов (практически 14 дней). Настолько продолжительная атака в последний раз была зафиксирована в конце 2015 года
Три страны, лидирующие по количеству проводимых в них DDoS-атак, остаются прежними. Китай снова на первом месте, при этом его доля значительно снизилась – с 78% до 50%. США остаются вторыми (25%), а Австралия – третьей (5%).
В географическом распределении мишеней лидером по-прежнему является Китай – 43% (71% в третьем квартале 2018 г.). Десятку лидеров покинули Россия и Сингапур, зато в нее вошли Бразилия (3%) и Саудовская Аравия (2%).
В четвертом квартале также произошли изменения в странах, где размещено подавляющее число серверов злоумышленников. Как и в предыдущем квартале 2018 г., лидер – США, а Великобритания и Нидерланды заняли второе и третье места, заменив Россию и Грецию соответственно. Вероятно, это связано с тем, что количество активных серверов ботнета Mirai значительно возрастает в вышеупомянутых странах.
Ранее Akamai Technologies также проанализировали весь массив DDoS-атак за минувший год и пришли к выводу, что изменение основных показателей по инцидентам стабилизировалось. Мощность самых крупных инцидентов ежегодно возрастает примерно на 6%, хотя максимум изредка зашкаливает из-за появления новых техник (DDoS с memcached-плечом) или масштабных ботнетов вроде Mirai. Однако вслед за пиком неизменно следует спад (часто в виде спецоперации). Медианная мощность DDoS за год возросла с 0,56 до 1,548 Гбит/с.
Теперь обратимся к отчету наблюдателей из калифорнийской компании Imperva. По словам экспертов, они с еженедельной частотой фиксируют DDoS-атаки, превышающие 500 Гбит/с, и недавно столкнулись с потоком более 500 млн пакетов в секунду (Mpps) они столкнулись впервые.
Подобные атаки, по словам специалистов Imperva, могут причинить гораздо больший ущерб, так как они нацелены на вывод из строя сетевого оборудования, которое не рассчитано на такие перегрузки, равно как и ходовые средства специализированной защиты. Известно, что в прошлом году, попытавшись исчерпать пропускную способность магистрали GitHub, злоумышленники создали трафик, побивший все известные рекорды: на пике он достиг 1,35 Тбит/с. Однако защитники с успехом отразили атаку с помощью фильтров: мусорный поток состоял в основном из пакетов большого размера, передаваемых с относительно небольшой скоростью (до 126,9 Mpps), к тому же их порт-источник был одинаков — 11211.
В Imperva,меж тем, считают, что рост показателя мощности DDoS, измеряемого в pps, специализированной защите тоже нужно непременно учитывать при расчете силы DDoS-атаки. Скорость передачи пакетов важна для обработчиков трафика — коммутаторов, роутеров, программно-аппаратных средств защиты от DDoS-атак. Сетевые устройства в основном проверяют заголовки пакетов, специализированные комплексы — также их содержимое, и производительность этих элементов сетевой инфраструктуры пока оставляет желать лучшего.
Атаку в 500 Mpps специалистам Imperva довелось отражать 10 января. По их словам, нападающие использовали две разные техники SYN flood — с пакетами обычной величины и с крупными, размером 800 – 900 байт (в Radware такие атаки называют SYN-цунами).
Рост количества DDoS с плотным потоком пакетов был зафиксирован в конце 2015 года и первой половине 2016-го, притом злоумышленники уже тогда начали дополнять такие атаки техникой SYN-цунами.
По данным экспертов, предел скорости передачи пакетов в ходе DDoS-атак, нацеленных на истощение сетевых ресурсов, постепенно растет, и важно привести, наконец, защиту в соответствие с новыми уровнями.
АКБ напоминает, что в настоящее время идет продолжение международной операции Power Off, в результате которой в апреле 2018 г. сыщики нейтрализовали крупнейший DDoS-сервис Webstresser.org и арестовали его владельцев. В результате операции в руки правоохранителей попали сведения о клиентах Webstersser.org. На момент его нейтрализации у сервиса было 136 тыс. зарегистрированных клиентов, а всего правоохранительные органы получили данных на 151 тыс. пользователей DDoS-сервиса. Теперь у многих крупных заказчиков DDoS-атак будут проблемы и обыски.
Читайте также про амплификацию DDoS-атак с помощью незащищенных устройств с доступом в интернет.
