За минувшие три квартала Arbor Networks зафиксировала в 4,5 раза больше DDoS-атак мощностью свыше 20 Гб/с, чем за весь прошлый год. Средняя мощность DDoS, по оценке компании, увеличилась на 78% и пока составляет 2,64 Гб, хотя в июле – сентябре этот показатель устойчиво держался на более высоком уровне ― 3–3,5 Гб.

Больше половины атак, зафиксированных Arbor в январе – сентябре, по мощности превышали 1 Гб/с, тогда как в 2012 году их вклад в DDoS-трафик составил лишь 33%. На долю атак 2–10 Гб пришлось 37%, свыше 10 Гб ― 4% (против 15 и 2,3% соответственно). При этом эксперты отметили, что средняя мощность инцидентов диапазона >10 Гб в текущем году пока составляет 18,5 Гб. Число атак мощностью более 20 Гб, как отмечено выше, возросло на 350%.

Число pps (пакетов в секунду) ― другой, не менее важный показатель DDoS-атаки — пока остается на низком уровне. Эту обратную тенденцию Arbor отметила еще в своем предыдущем отчете, за первую половину 2013 года. По обновленным данным, pps-показатель в сравнении с прошлым годом снизился на 34% и по итогам трех минувших кварталов в среднем составляет 982 тыс. пакетов (в сентябре этот показатель подрос до 1,18 млн). Arbor - мощность DDoS, январь-сентябрь 2013 Мощность DDoS-атак в разделении по диапазонам, январь – сентябрь 2013 года (источник: Arbor)

Приведенная выше статистика Arbor свидетельствует о том, что в текущем году основной угрозой являются мощные DDoS, направленные на большие каналы. Атаки на производительность оборудования (pps), демонстрировавшие устойчивый рост в конце 2011-го и на протяжении 2012 года, пока утратили свою актуальность. Эти разнонаправленные тенденции подтверждает также сравнение пиковых показателей Гб/с и pps, зафиксированных экспертами за два года:

2013 год 2012 год
191 Гб (UDP flood, продолжительность 14 минут) 100,84 Гб (20 минут)
73,9 Mpps (TCP, порт 443, 3 часа 39 минут) 82,36 Мpps (24 минуты)

Продолжительность DDoS-инцидентов в целом сокращается. По наблюдениям Arbor, в текущем году для 87,5% атак она составила менее 1 часа. Среднюю продолжительность на настоящий момент эксперты оценивают в 2 часа 18 минут, для DDoS >10 Гб ― в 2 часа 17 минут.

Рейтинг атакуемых портов за квартал мало изменился. Число атак на портах 80, 433 и 53 остается достаточно стабильным, хотя по сравнению с 2012 годом их показатели несколько уменьшились (до 30,6; 1,33 и 6,8% соответственно).

Статистика Arbor основана на данных ее веб-сервиса ATLAS, охват которого за квартал увеличился почти в полтора раза. По словам экспертов, в настоящее время он на пике мониторит 69,7 Тб/с IPv4-трафика в сетях 275+ интернет-провайдеров.

Комментарий эксперта: Рост на 350% атак мощностью более 20 Гб, думаю, заставит задуматься владельцев ДЦ и хостеров ― атака на любого из их клиентов может мгновенно обернуться потерей всей площадки. А подключение дополнительной оптики на 10 Гбит вряд ли будет решением. Алексей Афанасьев, руководитель проектa Kaspersky DDoS Prevention

 

 

 

 

В качестве миниатюры использован график роста средней мощности DDoS в Мб/с, приведенный в блоге Arbor. 

Категории: DoS-атаки, Аналитика, Главное