CDN-провайдер Akamai Technologies опубликовал отчет о DDoS и атаках на веб-приложения по итогам четвертого квартала 2015 года. В октябре, ноябре и декабре компания совокупно отразила на 40% больше DDoS-атак, чем в предыдущем квартале. Особо эксперты отметили тренд к возврату к избранным мишеням: за три месяца каждая жертва в среднем пережила 24 DDoS-инцидента.

Большинство DDoS, по данным Akamai, проводились с арендованных ботнетов, посему вновь повысилась доля атак, использующих технику отражения и усиления трафика (DrDoS, атаки с плечом): эта услуга широко представлена на черном рынке. По этой же причине средняя продолжительность DDoS сокращается (время аренды обычно ограничено); в минувшем квартале этот показатель составил менее 15 часов.

Согласно статистике Akamai, использование открытых сервисов NTP и DNS для проведения DrDoS в отчетный период резко возросло: в первом случае на 92%, во втором — почти на 57%. Примечательно, что для усиления мусорного потока вместо DNS злоумышленники зачастую использовали DNSSEC.

На долю атак сетевого уровня (3 и 4) в минувшем квартале пришлось 97% DDoS; 21% атак использовали UDP с фрагментацией пакетов. Зачастую злоумышленники не ограничивались одним вектором атаки: в 35% случаев они использовали два вектора, в 3% случаев — от пяти до восьми.

В сокращенном виде квартальные и годовые изменения, подмеченные Akamai, выглядят следующим образом:

в сравнении с третьим кварталом 2015 года

  • общее количество DDoS-инцидентов увеличилось на 39,89%;
  • число атак сетевого уровня возросло на 42,38%;
  • средняя продолжительность DDoS сократилась на 20,74%;
  • число атак мощностью свыше 100 Гбит/с снизилось на 37,5% (5 против 8);

в сравнении с четвертым кварталом 2014 года

  • количество DDoS увеличилось на 148,85%;
  • число атак сетевого уровня возросло на 168,82%;
  • средняя продолжительность атак сократилась на 49,03%;
  • количество атак >100 Гбит/с уменьшилось на 44,44%.

Самая мощная DDoS, которую Akamai довелось отражать в четвертом квартале, на пике показала 309 Гбит/с и 202 Mpps (пакетов в секунду). Эта атака была направлена против клиента компании, специализирующегося на поставках ПО и высоких технологий. Атакующие применили необычную комбинацию, чередуя SYN flood, UDP- и NTP-атаки; источники мусорного трафика были определены как ботнеты XOR и BillGates. Данная DDoS-кампания продолжалась восемь дней, в течение которых жертва была атакована 19 раз. Еще несколько атак против этой же мишени были проведены в начале января.

Чаще прочих злоумышленники атаковали представителей игровой индустрии (54% инцидентов), а также софтверные и IT-компании (совокупно 23%).

Категории: DoS-атаки, Аналитика, Главное