Крупнейший CDN-провайдер Akamai Technologies опубликовал отчет о кибератаках по итогам второго квартала текущего года. В указанный период специалисты Akamai по защите от DDoS совокупно отразили 4919 таких атак по клиентской базе — против 4,5 тыс. с небольшим в предыдущие три месяца. Согласно статистике Akamai, пик DDoS-активности пришелся на май, в течение которого было зарегистрировано 1859 инцидентов, в основном в игровой индустрии. По словам защитников, это самый высокий месячный показатель за время существования их сервиса.

Двенадцать DDoS по мощности превысили 100 Гбит/с, а самая мощная на пике показала 363 Гбит/с. Эта атака была направлена против европейского владельца СМИ и использовала шесть разных техник: SYN flood, UDP с фрагментацией пакетов, ACK-PUSH flood (на вывод из строя межсетевого экрана), TCP flood, отражение и усиление с помощью DNSSEC, а также простой UDP flood. Тем не менее исследователи отметили, что медианная мощность DDoS снизилась на 36%, до 3,85 Гбит/с, хотя прежде два года держалась на уровне 5,5 Гбит/с.

Другой показатель мощности, число пакетов в секунду (pps), тоже уменьшился, но этот тренд эксперты фиксируют каждый квартал. В апреле — июне большое количество атак, по данным Akamai, генерировали менее 0,5 Mpps; 21 атака показала свыше 30 Mpps, 2 (июньские) — 307 Mpps и 363 Mpps. Эти два DDoS-инцидента также примечательны тем, что полагались не только на высокую скорость пакетов (чтобы истощить ресурсы), но и на превышение пропускной способности каналов: на пике они показали 191 и 246 Гбит/с. Аналогичная комбинация целей наблюдалась еще в четырех случаях DDoS диапазона >30 Mpps.

Исследователи также вновь отметили частый возврат дидосеров к прежним мишеням: в среднем за квартал на каждого атакованного клиента Akamai пришлось 29 атак.

Подавляющее большинство DDoS, зафиксированных в отчетный период, представляли собой атаки сетевого уровня (3 и 4), менее 2% — атаки уровня 7 (приложений). Столь большую диспропорцию эксперты объясняют широким распространением теневых сервисов, обладающих готовыми инструментами для проведения DDoS-атак, в том числе ботнетами, аренда которых вполне по карману даже школьнику. Многие из таких сайтов предлагают возможность проведения атаки по методу отражения (DrDoS, DDoS с плечом), посему, как считают эксперты, число одновекторных DDoS возросло до 51%, в основном за счет атак с NTP-плечом.

По сравнению с первым кварталом количество NTP-атак (в том числе в комбинации с другими векторами) увеличилось на 44%, на их долю в апреле — июне пришлось 15,5% DDoS. Тем не менее их некогда очень высокий, до 1000 крат, коэффициент усиления резко снизился, так как используемая злоумышленниками уязвимость CVE-2013-5211, связанная с поддержкой команды MON_GETLIST, была пропатчена с выпуском NTP 4.2.7p26, и многие операторы соответствующих серверов от нее уже избавились.

Из других техник наиболее часто Akamai фиксировала UDP с фрагментацией (23,3%) и DNS-атаки (15,8%), как flood, так и с отражением. При проведении атак с DNS-плечом дидосеры нередко пытались повысить их эффективность, используя возможности защищенного протокола DNSSEC. На CHARGEN-атаки в минувшем квартале пришлось около 9,8% DDoS-инцидентов, на SYN flood — 8,9%, на UDP flood — немногим более 8,5%. Исследователи также отметили появление нового вектора — TFTP; три атаки с плечом использовали протокол mDNS (с групповой адресацией).

Akamai также подсчитала количество сетевых устройств (уникальных IP), служивших посредниками в DrDoS-атаках. За квартал их набралось около 778 тыс., причем 59% составили NTP-серверы, 17% — устройства, использующие протокол SSDP.

Вредоносный трафик из Китая еще больше возрос, на долю этой страны в отчетный период пришлось 56% DDoS-активности, зафиксированной Akamai. Второе место среди стран-источников заняли США с показателем 17%. Основными мишенями дидосеров являлись представители игровой индустрии (57% атак), СМИ и центры досуга (совокупно 26%).

Полнотекстовая версия квартального отчета Akamai доступна на сайте загрузок компании (требуется регистрация).

Категории: DoS-атаки, Аналитика, Главное