Хотя среднестатистический показатель мощности DDoS начал снижаться, число атак верхнего уровня растет. В первой половине текущего года исследователи из Arbor Networks зафиксировали свыше 100 инцидентов мощностью более 100 Гб/с. Количество атак диапазона >20 Гб во втором квартале вдвое превысило показатель за весь прошлый год. Статистика Arbor основана на данных ее веб-сервиса ATLAS, который в настоящее время мониторит до 90 Tб/с трафика в сетях почти 300 интернет-провайдеров.

Ранее дидосеры добивались искомого результата, используя сотни, даже тысячи зараженных машин, которые генерировали мусорный трафик и дружно атаковали мишень. В наши дни, когда широкополосный Интернет доступен рядовому пользователю во многих уголках планеты, атакующим требуется гораздо меньше ботов, чтобы создать мощный трафик, способный эффективно сокрушить многие сайты.

Одной из причин роста числа мощных DDoS, по мнению Arbor, является возможность использования открытых NTP-серверов и DNS-резолверов — посредников, помогающих злоумышленникам усилить мусорный поток и направить его на мишень. И те, и другие допускают подмену источника запроса и способны возвращать ответ, на порядки превышающий запрос по объему.

В текущем году атаки с NTP-плечом представляют серьезную проблему; согласно статистике Arbor, в первом квартале данная техника усиления применялась в 85% DDoS-атак уровня >100 Гб. В апреле — июне этот показатель снизился до 49%, падает и средняя мощность мусорного NTP-трафика, однако степень угрозы исследователи пока оценивают как значительную.

Примечательно, что одновременно с ростом числа мощных инцидентов наблюдается также увеличение их продолжительности. Так, во втором квартале средняя продолжительность DDoS уровня >20 Гб достигла 98 минут, тогда как в первом составляла 54 минуты.

Основными источниками DDoS-трафика в первом полугодии являлись Южная Корея (15% атак) и США (14%).

Категории: DoS-атаки, Аналитика