По наблюдениям Prolexic Technologies (ныне в составе Akamai), за минувший год DDoS-атаки стали короче, но мощнее. В минувшем квартале эксперты зафиксировали смену тактики: не отказываясь от эффективных атак с плечом, инициаторы DDoS также начали строить и пускать в ход мощные ботнеты на основе скомпрометированных серверов.

«DDoS-атаки по-прежнему многочисленны, средний и пиковый показатели мощности держатся на высоких отметках, — комментирует Стюарт Шолли (Stuart Scholly), первый вице-президент и главный руководитель ИБ-направления Akamai Technologies. — Они способны отправить в офлайн целый дата-центр, забив сетевые каналы. Авторы этих атак сменили тактику, они строят, задействуют и маскируют мощные ботнеты. Серверные ботнеты существуют за счет веб-уязвимостей, тогда как техника отражения и усиления трафика позволяет атакующим получить высокий эффект малыми средствами».

Создавая серверные ботнеты, злоумышленники используют мощности серверов PaaS (Platform-as-a-Service) и SaaS (Software-as-a-Service) с уязвимым софтом, таким как Linux, Apache, MySQL, набор серверного ПО LAMP (на основе PHP) и Microsoft Windows Server. Они также производят массовые взломы сайтов, построенных на популярных CMS-платформах WordPress и Joomla. Такая тактика позволяет продлить жизнь DDoS-ботнета, так как делает ставку на белую репутацию облачных провайдеров.

Во втором квартале была возобновлена активность скриптового бота itsoknoproblembro, известного также как Brobot. Созданный на его основе серверный ботнет принимал деятельное участие в проведении мощнейших атак на американские банки в 2011–2013 годах (так называемая «операция Абабиль»). Как оказалось, Brobot все еще представляет угрозу и, похоже, сменил хозяина.

DDoS с плечом по-прежнему популярны у киберкриминала, хотя статистика Prolexic показывает, что число инцидентов с NTP-усилением пошло на спад: в апреле – июне на их долю пришлось лишь 7% атак, тогда как в предыдущем квартале — 15%. В отчетный период поклонники атак с плечом активно использовали другой уязвимый сетевой протокол — SNMP (3% атак против 0%); Prolexic ранее предупреждала пользователей о росте угрозы DDoS с SNMP-плечом.

Тем не менее в большинстве случаев нападающие попросту стремились забить каналы, при этом 26% отраженных Prolexic атак использовали технику SYN flood, 25% — UDP flood.

Фиксируемые Prolexic пиковые показатели мощности DDoS в сравнении с предыдущим кварталом несколько снизились — до 7,76 Гб/с и 12,05 Mpps, но все же значительно выше, чем год назад. В мае эксперты отразили DNS flood, показавший на пике 110 Mpps, что пока является рекордом для текущего года.

Изменения на DDoS-арене Prolexic суммировала следующим образом:

в сравнении с первым кварталом 2014 года

  • общее количество DDoS уменьшилось на 0,2%;
  • средняя мощность атак снизилась на 14%, пиковая — на 36%;
  • число атак уровня приложений сократилось на 15%, на их долю ныне приходится лишь 11% DDoS-инцидентов;
  • средняя продолжительность DDoS сократилась на 0,2%, с 17,38 до 17,35 часа;

в сравнении со вторым кварталом 2013 года

  • суммарное число DDoS возросло на 22%;
  • средняя мощность атак увеличилась на 72%, пиковая — на 241%;
  • количество атак сетевого уровня (3 и 4) увеличилось на 46%;
  • средняя продолжительность DDoS сократилась на 54%.

Основными мишенями дидосеров в отчетный период являлись игровые сайты, на долю которых совокупно пришлось 45,6% DDoS-атак, отраженных Prolexic, а также софтверные/IT-компании (22,3%), СМИ и индустрия развлечений (совокупно 15,2%).

Большая часть (40%) неопосредованного DDoS-трафика исходила из Азиатско-Тихоокеанского региона. Тем не менее рейтинг стран-источников, как и в предыдущем квартале, возглавили США, доля которых несколько уменьшилась и составила 20%. Второе место заняла Япония (18% атак), третье — Китай (12%), за ним следуют Германия (10%) и Мексика (8%). Россия заняла в этом непочетном списке девятое место (5%).

Категории: DoS-атаки, Аналитика, Главное