В минувшем году компания Arbor Networks, специализирующаяся на обеспечении сетевой безопасности, зафиксировала резкий рост мощности DDoS-трафика. Количество атак мощностью более 20 Гб/с увеличилось в 8 раз; многие клиенты Arbor столкнулись с атакой свыше 100 Гб, тогда как для 2012 года эта цифра была пределом. Пик по клиентской базе Arbor в 2013 году составил 245 Гб.

«Похоже, атакующие всеми силами стремятся добиться результата, будь то нарушение доступа к сервису или вспомогательный маневр для сокрытия мошеннической транзакции или кражи, — комментирует Дарен Энсти (Darren Anstee), архитектор защитных решений Arbor. — Они вновь сделали ставку на мощность, так как понимают, что оборона крепнет и сила — один из способов ее пробить».

Статистика, включенная в годовой отчет Arbor об угрозах безопасности сетевой инфраструктуры, основана на результатах опроса пользователей ее облачной информационно-аналитической системы ATLAS. В настоящее время ATLAS на пике мониторит более 80 Тб/с IPv4-трафика в сетях 290+ подписчиков из разных регионов. В опросе, проведенном в минувшем октябре, приняли участие 220 представителей разных организаций, 70% из них составили интернет-провайдеры.

Согласно результатам опроса, главной угрозой деловым операциям в настоящее время являются DDoS-атаки (72% опрошенных). Мусорный трафик забивает рабочие каналы, выводит из строя подсистемы балансировки нагрузки, межсетевые экраны и серверы приложений. Операторов корпоративных сетей кроме дефицита емкости каналов сильно беспокоят засилье ботов и компрометация хостов, а также вероятность целевой атаки (APT, около трети респондентов). Поставщики мобильных услуг тоже стали чаще страдать от DDoS, в отчетный период с ними столкнулись около четверти этих служб — вдвое больше, чем в 2012 году.

Участились атаки на дата-центры: в минувшем году DDoS подверглись более 70% таких объектов, опекаемых Arbor, тогда как в 2012-м — менее половины. Частота DDoS-атак для 12% дата-центров составила более 50 в месяц, для 9% — более 100. В 36% случаев направленный на дата-центр мусорный поток превзошел пропускную способность его интернет-каналов. Последствия DDoS для дата-центра могут быть весьма плачевными: 81% операторов-респондентов понесли издержки, 35% лишились части клиентов, а 27% зафиксировали потерю доходов. Эксперты с сожалением отмечают, что в подавляющем большинстве дата-центров трафик хорошо просматривается лишь до 4-го уровня включительно и лишь в 23% — до 7-го. Спектр защитных решений на большинстве таких объектов по-прежнему ограничен брандмауэрами и IDS/IPS, хотя 40% уже предоставляют специализированную защиту от DDoS, а 32% планируют внедрить такой сервис.

Атаки на приложения стали повседневностью, на них в отчетный период пришлось 24% DDoS-инцидентов. Согласно результатам опроса, направленные на веб-сервисы (HTTP) атаки 7-го уровня зафиксировали 82% организаций; 77% сообщили об атаке на DNS, 25% — на SMTP. Заметно участились атаки на защищенные по HTTPS сервисы: в минувшем году с такой атакой столкнулись 54% респондентов против 37% в 2012 году и 24% в 2011-м.

DNS-сервис остается привлекательной мишенью для злоумышленников. В отчетный период DDoS-атаки на DNS-инфраструктуру вызвали проблемы у клиентов 36% участников опроса. При этом 23% респондентов столкнулись с атакой на рекурсивный сервер (DNS-резолвер), который, как показала практика, легко может стать посредником в DDoS-атаке, если в силу своей конфигурации принимает запросы от всех пользователей Сети. Техника усиления DDoS с помощью DNS-плеча получила большое распространение в минувшем году; этот трюк, как известно, применили авторы самой мощной атаки 2013 года, выбрав мишенью Spamhaus. Как показал проведенный Arbor опрос, проблема открытых резолверов пока не утратила своей актуальности: 20% респондентов признались, что, несмотря на высокую вероятность злоупотреблений, так и не ввели ограничения по рекурсивным запросам. Arbor также отметила, что уязвимость DNS-сервиса нередко усугубляет отсутствие структурной единицы, официально отвечающей за его безопасность. Такой специализированной группы нет у 19% опрошенных.

С полнотекстовым отчетом Arbor можно ознакомиться на сайте компании (требуется регистрация). Основная статистика выложена в открытый доступ в графике и в виде презентации.

Категории: DoS-атаки, Аналитика, Главное