В период с июля по сентябрь по клиентской базе Akamai Technologies было отражено 4376 DDoS-атак — на 8% больше, чем в предыдущем квартале. Возросли также медианное значение мощности DDoS и число инцидентов, в среднем приходящихся на каждую цель.

Согласно статистике Akamai, в июне 2015 года медианная мощность DDoS составляла примерно 1,5 Гбит/с. К началу текущего года этот показатель снизился до 520 Мбит/с, а затем снова начал расти и в конце третьего квартала составлял уже 675 Мбит/с. В сентябре половина атак сетевого уровня (3 и 4) на пике показала от 240 Мбит/с до 1,8 Гбит/с, а к концу месяца предельное значение мощности возросло до 8,8 Гбит/с.

Публикация подобных данных, по мнению экспертов, помогает организациям понять, к чему готовиться и насколько быстро нужно перестраивать оборону. Если в первом квартале пропускной способности в 1,3 Гбит/с было достаточно, чтобы выстоять в 75% случаев, то ныне этого уже не хватит. Более того, с учетом роста армии плохо защищенных IoT-устройств можно ожидать, что в обозримом будущем тенденция к увеличению медианной мощности DDoS сохранится.

Среднее количество атак на ресурсы клиентов Akamai за отчетный период возросло с 32 до 36. Больше всех от повторных DDoS страдал один игровой сайт — в течение квартала злоумышленники атаковали его 612 раз.

Более 99% DDoS, зафиксированных Akamai, пришлось на атаки сетевого уровня. Большинство атак прикладного уровня, по словам экспертов, не имели целью вызвать отказ в обслуживании — это были скорее попытки получить доступ к системе или данным, используя слабости приложений.

Рейтинг популярных техник по итогам квартала возглавили UDP-атаки с фрагментацией пакетов (30% DDoS-инцидентов). Второе и третье места поделили DNS и NTP с показателями 16 и 12% соответственно. Исследователи также отметили, что доля атак с CLDAP-плечом со второго квартала возросла в два раза — до 8,84%.

Изменения основных показателей по DDoS-атакам в отчете Akamai суммированы следующим образом:

в сравнении со вторым кварталом

  • общее количество атак увеличилось на 8%;
  • число атак сетевого уровня возросло на 8%;
  • число атак с отражением и усилением трафика возросло на 4%;
  • среднее количество атак на одну мишень увеличилось на 13%;

в сравнении с третьим кварталом 2016 года

  • совокупное число атак сократилось на 3%;
  • количество атак сетевого уровня уменьшилось на 2%;
  • количество атак с отражением уменьшилось на 2%.

В разделении по характеру мишеней 86% DDoS пришлось на долю игровых сайтов — против 82% в предыдущем квартале. Список стран, ресурсы которых использовали дидосеры, возглавила Германия (22%), резко ухудшившая свой показатель; второе место вновь заняли США (14%). Прежний лидер Египет ныне оказался за пределами ведущей пятерки.

Из актуальных тенденций эксперты отметили очередную вспышку DDoS-вымогательства, возврат ботоводов к некогда очень популярной технологии fast flux, затрудняющей обнаружение и ликвидацию вредоносных сетей, а также активный поиск новых источников для построения ботнетов — живой пример тому появление мобильного WireX и недавние атаки IoT-зловреда Mirai.

Самая мощная DDoS, зафиксированная Akamai в третьем квартале, была проведена с ботнета Mirai. Атака проводилась как ACK flood, который на пике показал 109 Гбит/с и около 15 Mpps (млн пакетов в секунду). Мощный мусорный поток наблюдался на порту 80, притом величина пакетов составляла 900 байт.

Ботнет WireX, построенный на Android-устройствах, был обнаружен в середине августа. На момент ликвидации, в подготовке которой принимала участие Akamai, в его состав входило не менее 70 тыс. зараженных устройств. Эксперты полагают, что история WireX на этом не закончилась, и бот-сеть, аналогов которой не так уже много, вновь возродится, умножится и будет эволюционировать, подобно Mirai.

Категории: DoS-атаки, Аналитика, Главное