В период с октября по декабрь специалисты Akamai по защите от DDoS отразили 3826 атак по клиентской базе CDN-провайдера — против 4556 в предыдущем квартале. 7 из 12 мегаатак (мощностью более 100 Гбит/с), зафиксированных экспертами, были проведены с IoT-ботнетов, построенных на основе Mirai.

«Как мы наблюдали это на примере атак ботов Mirai в третьем квартале, незащищенные устройства Интернета вещей (IoT) продолжают создавать значительные DDoS-потоки, — комментирует Мартин МакКей (Martin McKeay), старший консультант Akamai по вопросам ИБ и главный редактор ее квартальных отчетов. — По прогнозам, численность таких устройств будет расти по экспоненте, а значит, будет шириться и пул ресурсов для проведения атак, а компаниям придется увеличивать капиталовложения в кибербезопасность. Можно также ожидать появления дополнительных уязвимостей, прежде чем устройства станут более защищенными».

Примечательно, что самая мощная DDoS в минувшем квартале (517 Гбит/с на пике) не имела отношения к Mirai. По данным Akamai, она была проведена с ботнета, созданного с помощью тулкита Spike, который появился на интернет-арене два года назад. «Возможно, операторы Spike почувствовали вызов со стороны Mirai и решили повысить конкурентоспособность, — полагает МакКей. — Если это действительно так, отрасли следует быть готовой к тому, что и другие ботоводы начнут искать пределы возможностей своих инструментов, проводя все более мощные атаки».

Среди векторов DDoS по-прежнему преобладают UDP с фрагментацией пакетов (27,4% атак), DNS (20,6%) и NTP (14,5%). Доля последних продолжает падать, а мощность снижается по мере латания и списания уязвимых устройств, которые можно использовать в качестве отражателей мусорного трафика. На DDoS уровня приложений в минувшем квартале пришлось лишь 1,2% атак.

Особо эксперты отметили появление нового вектора — CLDAP (облегченный протокол доступа к каталогам, не требующий создания сеанса связи). Протокол (C)LDAP поддерживает, в частности, служба Active Directory, позволяющая централизованно управлять сетями Windows. LDAP-атаки, как и другие DDoS с плечом, полагаются на подмену IP-адреса источника запроса и возврат ответа, значительно превышающего запрос по объему.

Согласно статистике Akamai, за квартал и за год основные показатели DDoS изменились следующим образом:

в сравнении с третьим кварталом 2016 года

  • общее количество DDoS-инцидентов уменьшилось на 16%;
  • число атак сетевого уровня (3 и 4) снизилось на 16%;
  • количество DDoS с отражением уменьшилось на 9%;
  • число атак мощностью свыше 100 Гбит/с сократилось на 37% (12 против 19);

в сравнении с четвертым кварталом 2015 года

  • общее количество DDoS увеличилось на 4%;
  • число атак сетевого уровня возросло на 6%;
  • число атак с плечом возросло на 22%;
  • количество мегаатак увеличилось на 140% (12 против 5).

Число IP-адресов, задействованных в DDoS-атаках, за квартал значительно возросло. Эксперты объясняют это увеличением вклада Mirai: этот зловред не прячет свои боевые порядки, и их легко отследить в Сети. Список стран — лидеров по исходящему вредоносному трафику возглавили США, на территории которых в отчетный период было обнаружено более 180 тыс. таких источников (24% от общего количества). Второе место в непочетном рейтинге заняла Великобритания (9,7%), третье — Германия (6,6%). Прежний стойкий лидер — Китай опустился на четвертую строчку с весьма скромным  показателем 6,2%, за ним следует Россия (4,4%).

Категории: DoS-атаки, Аналитика, Главное