В Arbor Networks круглая дата: вышел 10-й годовой отчет о сетевой безопасности, в который специалисты по защите от DDoS-атак обычно включают результаты опроса сервис-провайдеров и операторов сетей разного профиля. Согласно представленной в нем статистике, порог мощности для DDoS в минувшем году достиг 400 Гб/с, тогда как десять лет назад этот показатель составлял лишь 8 Гб.

Участники опроса также припомнили инциденты с пиковой мощностью 300, 200 и 170 Гб/с, еще в шести случаях предел превысил отметку 100 Гб. В то же время, по данным ATLAS, мониторингового сервиса Arbor, количество DDoS мощностью более 100 Гб за год возросло в четыре раза. Частота DDoS-атак тоже растет: в 2013 году немногим более четверти респондентов заявили, что сталкивались с ними более 20 раз в месяц, а в следующем году доля таких заявителей увеличилась до 38%.

В целом за истекший период DDoS пережила половина опрошенных; 40% из них, включая треть операторов дата-центров, отметили, что мусорный трафик превысил пропускную способность интернет-каналов. Более чем в трети организаций атака привела к отказу межсетевого экрана или системы предотвращения вторжений, в отдельных случаях наличие этих защитных средств лишь усугубило проблему. В дата-центрах DDoS также приводят к резкому возрастанию эксплуатационных затрат, 44% операторов отметили снижение дохода. Более четверти респондентов зафиксировали DDoS-атаки против облачных сервисов.

Судя по результатам опроса, многовекторные атаки становятся повсеместным явлением; в минувшем году с комбинацией атак, забивающих каналы, атак на приложения и истощающих ресурсы столкнулись 42% участников опроса. При этом атаки прикладного уровня довелось наблюдать 90% респондентов, с использованием HTTPS — 47%.

Многие мощные DDoS, зафиксированные Arbor, проводились по методу отражения и усиления трафика. При этом на некогда грозные атаки с DNS-плечом, согласно показаниям ATLAS, в середине минувшего года приходилось лишь 4% DDoS-инцидентов, а к концу года они и вовсе сошли на нет. Самыми мощными оказались NTP-атаки, хотя со второго квартала их доля в общем объеме заметно снизилась; в четвертом квартале она составила 7%, что вдвое меньше, чем в начале года. Тем не менее из 123 атак с NTP-плечом, с которыми столкнулись клиенты Arbor, 93 на пике показали более 100 Гб/с, пять — свыше 200 Гб (с пределом 325 Гб/с).

В четвертом квартале резко возросла угроза SSDP-атак, использующих в качестве посредников UPnP-устройства. В октябре – декабре на их долю пришлось 9% DDoS по клиентской базе Arbor. Эксперты в среднем регистрировали 25 таких инцидентов в месяц, самый мощный из них на пике показал 131 Гб/с. Из прочих «плечевых» протоколов на CHARGEN ежеквартально приходилось 1–2% DDoS-атак, на SNMP — менее 1%.

Примечательно, что DDoS с плечом довелось наблюдать большинству участников опроса Arbor, причем 81% респондентов столкнулись с использованием протокола DNS, 71% — NTP, 31% — SNMP, столько же — CHARGEN и 26% — SSDP.

В опросе, проведенном в минувшем октябре, приняли участие 287 интернет-провайдеров уровня 1 и 2/3, хостинг-провайдеров, а также операторов мобильных, корпоративных и других сетей из разных стран и регионов. При этом более 60% респондентов представляли сферу интернет-услуг, около 30% — бизнес-структуры, образовательные учреждения и правительственные организации.

Категории: DoS-атаки, Аналитика, Главное