Akamai Technologies опубликовала отчет о DDoS-инцидентах, зафиксированных по ее клиентской базе в период с июля по сентябрь. За три месяца специалисты компании отразили 4556 таких атак, на 8% меньше, чем в предыдущем квартале. Тем не менее в 19 случаях интенсивность мусорного потока превысила 100 Гбит/с, а две атаки, проведенные с IoT-ботнета Mirai (в компании его называют Kaiten) и направленные против KrebsOnSecurity.com, на пике показали 623 и 555 Гбит/с.

«Каждые пару лет интернет-сообщество сталкивается с атаками, которые можно счесть провозвестниками грядущих изменений, ибо по мощи и масштабности эти ИБ-события коренным образом отличаются от всего, что происходило ранее, — комментирует Мартин МакКей (Martin McKeay), старший консультант Akamai по вопросам ИБ, главный редактор квартального отчета. — Думаю, новейшим из таких провозвестников является ботнет Mirai, материализовавший всеобщие опасения в отношении Интернета вещей (IoT) и других подключенных к Интернету устройств, а именно: что они могут быть использованы как для атак на веб-приложения, так и для DDoS. Он убедительно доказал, что производителям устройств следует уделять больше внимания безопасности».

Хотя данные Akamai свидетельствуют об уменьшении количества DDoS, исследователи предупреждают, что радоваться рано: впереди долгие праздники, и, согласно статистике, в День благодарения и рождественские каникулы следует ожидать оживления не только в рядах шоперов, но также среди криминальных элементов.

Подавляющее большинство атак, зафиксированных Akamai в минувшем квартале, составили DDoS сетевого уровня, на атаки уровня 7 (приложений) пришлось лишь 1,66% киберинцидентов. Эксперты объясняют это тем, что проведение атак прикладного уровня требует определенного уровня технических знаний, тогда как атаки на сетевую инфраструктуру намного проще в исполнении.

Изменение основных показателей за квартал и за год исследователи суммировали следующим образом:

в сравнении со вторым кварталом 2016 года

  • общее количество DDoS-атак уменьшилось на 8%;
  • число атак сетевого уровня (3 и 4) сократилось на 8%;
  • число мегаатак (>100 Гбит/с) возросло на 58% (19 против 12);

в сравнении с третьим кварталом 2015 года

  • общее число атак возросло на 71%;
  • число DDoS сетевого уровня возросло на 77%;
  • количество мегаатак увеличилось на 138%.

Многие DDoS, отраженные Akamai, использовали протокол UDP с фрагментацией пакетов, на их долю пришлось порядка 24,6% атак сетевого уровня (во втором квартале — 23,3%). DNS-атаки тоже повысили свой показатель, до 18,4% против прежних 15,8%. По мнению исследователей, параллельный рост популярности этих векторов неудивителен: UDP с фрагментацией, по их словам, является побочным продуктом DNS-трафика.

Доля DDoS с NTP-плечом незначительно снизилась, с 15,5 до 15,2%, однако уровень такого трафика продолжает падать. Так, согласно статистике Akamai, в июле — сентябре средняя мощность NTP-атак составила примерно 700 Мбит/с, тогда как в июне 2014 года она превышала 40 Гбит/с. Исследователи пояснили, что число NTP-устройств, пригодных для использования в DDoS, постепенно сокращается благодаря усилиям ИБ-экспертов и провайдеров и в итоге NTP-атаки становятся менее серьезной угрозой.

В целом на атаки по методу отражения и усиления трафика в минувшем квартале пришлось немногим менее 51%. Большая часть этих DrDoS, по свидетельству экспертов, использовала протокол DNS, их вклад даже превысил рекордный показатель первого квартала. Akamai также отметила, что инициаторы атак с DNS-плечом начали использовать большое количество доменов-посредников, тогда как ранее предпочитали полагаться на единственный домен, поддерживающий DNSSEC (чаще всего это был .gov). Ныне, согласно наблюдениям, дидосеры задействуют в одной атаке как DNSSEC-домен, так и множество других доменов, некоторые из которых явно специально зарегистрированы.

На UDP flood в третьем квартале пришлось около 10,3% атак, на DDoS с CHARGEN-плечом — 8,2%, на SYN flood — 7,6%, на SSDP — 6,7%.

Число атак, в среднем приходящихся на одну мишень, возросло до 30. Самую многострадальную цель дидосеры атаковали в течение трех месяцев по 3–5 раз каждые сутки, хотя эти DDoS почти всегда были короткими, маломощными и без особых последствий. Исследователи не преминули отметить, что в отсутствие надлежащей защиты совокупный эффект в данном случае мог бы оказаться губительным для репутации этой организации.

Список стран — лидеров по DDoS-трафику четвертый раз подряд возглавил Китай, хотя за три месяца его вклад заметно сократился, с 56 до 30%. Второе место заняли США (21,6%), третье — Великобритания (16,2%). Ведущую пятерку замыкают Франция и Бразилия (8,7 и 4,9% соответственно).

Полнотекстовая версия отчета Akamai доступна на сайте компании (требуется регистрация).

Категории: DoS-атаки, Аналитика, Главное