Количество DDoS-инцидентов с усилением трафика продолжает увеличиваться, и в основном это мощные атаки. Согласно новейшему отчету Arbor Networks, на DDoS-арене появилась еще одна техника атак с плечом, она использует уязвимости протокола Simple Service Directory Protocol (SSDP).

Статистика, представленная в новом отчете компании, основана на результатах мониторинга атак в третьем квартале. Хотя основное внимание в исследовании уделяется атакам с использованием SSDP-протокола, DDoS-атаки с NTP-плечом тоже сохранили актуальность, однако их частота снизилась.

Согласно Arbor, мощные DDoS-атаки проводятся с возрастающей частотой — эту тенденцию компания отмечала еще в предыдущем отчете и недавно подтвердила NSFOCUS.

DDoS по методу усиления проводятся следующим образом: атакующий указывает IP-адрес жертвы в качестве источника запросов, подаваемых на большое количество устройств. Получатели этих запросов отправляют свои ответы в сеть целевой организации, и в случае успеха итоговый мощный поток эффективно выводит мишень из строя. Это достаточно простой метод повышения эффективности DDoS-атаки. Атаки с SSDP-плечом — это новое явление; Arbor отметила, что по темпам прироста такие инциденты опережают все остальные виды DDoS-атак. В то же время более известная техника, использующая NTP-протокол, постепенно уходит со сцены.

SSDP — это сетевой протокол, используемый для поиска UPnP-устройств (Universal Plug and Play). По оценке Arbor, в сентябре на долю SSDP пришлось 9% DDoS-инцидентов и 42% атак мощностью более 10 Гбит/с. В целом за квартал инциденты с использованием SSDP были зафиксированы 33 тыс. раз, но в компании признают, что сравнить этот показатель не с чем, так как в предыдущем квартале таких атак было немного.

«Во втором квартале Arbor отслеживала очень ограниченное число атак с SSDP-усилением, но в третьем квартале данная техника использовалась почти в 30 тыс. атак, одна из которых показала на пике 124 Гбит/с. Представленная в отчете статистика подтверждает тенденцию, которую в Arbor называют «Эра хоккейной клюшки»: мощность DDoS неуклонно растет, и до конца 2014 года этот тренд сохранится», — сообщили в компании.

Как в случае с NTP, атакующие использует серверы с включенным SSDP, так как этот протокол тоже позволяет значительно усилить DDoS-трафик и не требует значительных ресурсов. Как оказалось, владельцы таких серверов редко что-то предпринимают против таких злоупотреблений.

«Еще памятны NTP-атаки, захлестнувшие Интернет в первом и отчасти втором кварталах. Они и сейчас не редкость, хотя пик уже пройден. К сожалению, у нас есть все причины считать, что следующим протоколом, попавшим под прицел, станет SSDP, — сокрушается Даррен Энсти (DarrenAnstee) из Arbor Networks. — Организациям необходимо удостовериться в том, что их системы защищены от DDoS на нескольких уровнях и готовы противостоять как атакам, забивающим каналы, так и более скрытым, сложным DDoS уровня приложений».

Что касается атак с NTP-плечом, эта угроза пока остается в силе. После экспансии в первом квартале эта активность идет на спад, однако и сейчас на долю NTP приходится больше половины атак мощностью свыше 100 Гбит/с.

Учитывая актуальность NTP-атак и появление SSDP-инцидентов, высокие показатели по мощным DDoS неудивительны. В текущем году Arbor зафиксировала 133 атаки мощностью 100 Гбит и выше; 16,5% DDoS превысили 1 Гбит. Самая мощная атака на пике показала 265 Гбит, средняя мощность за квартал составила 859 Мбит/с.

Продолжительность атак тоже выросла: 91,2% атак составили инциденты дольше часа. DDoS мощностью свыше 10 Гбит наблюдались в основном в США, Китае и Бразилии (7,6, 5,9 и 1,1% атак соответственно). Атаки диапазона 100 Гбит и более были характерны для США, Франции и Дании (17,6, 10,8 и 8,4% соответственно).

Категории: DoS-атаки, Аналитика, Главное