В текущем году компания Cloudflare зафиксировала две мощнейшие DDoS-атаки в своих сетях. Одна из них проводилась по типу SYN flood, другая была многовекторной.

В наши дни атаки SYN flood, нацеленные на перегрузку и отказ каналов связи, — широко распространенное явление. Согласно статистике «Лаборатории Касперского», в 2018 году этот вектор уверенно держит первенство, с отрывом опережая прочие техники DDoS. Так, в I квартале на долю SYN flood пришлось 57,3% атак с ботнетов, во II квартале — 80,2%, в минувшем — 83,2%.

Для Cloudflare подобные DDoS тоже не редкость; в текущем году большинство SYN-атак, по данным компании, исходит из стран Азии. Их мощность иногда достигала 600-650 Гбит/с — оператор крупнейшей CDN-сети с хорошо выстроенной обороной считает это нормой. Однако SYN flood, с которой провайдер столкнулся в апреле, по силе превзошла все аналоги — ее мощность на пике составила 942 Гбит/с.

Кроме того, атака имела необычайно широкий охват: она затронула все многочисленные датацентры Cloudflare, а источники мусорного потока были расположены по всему миру (обычно их разброс, по словам специалистов компании, невелик). Примечательно также, что в ряде случаев IP-адрес источника оказался поддельным. В Cloudflare предположили, что генераторами вредоносного трафика являлись боты XOR DDoS. Эти Linux-зловреды проявляли большую активность во втором квартале.

Многовекторная атака, которую довелось отражать защитникам CDN-сети, тоже оказалась не совсем обычной: почти все техники, используемые дидосерами, предполагали отражение и усиление мусорного трафика и применялись одновременно. Суммарная мощность этих потоков на пике превысила 800 Гбит/с.

CloudFlare-multivector-DDoS

Перечень служб, атакованных злоумышленниками:

  • порты 0 и 53 — DNS,
  • порт 111 — Portmap,
  • порт 123 — NTP,
  • порт 137 — служба имен NetBIOS,
  • порт 161 — SNMP,
  • порт 389 — LDAP,
  • порт 1900 — SSDP.

По наблюдениям Cloudflare, подобные атаки появились совсем недавно, около двух месяцев назад. Такое впечатление, что дидосеры разуверились в эффективности одновекторных атак с усилением и решили массировать удары, нанося их сразу по всем фронтам. И действительно, DDoS с SSDP-плечом в сетях провайдера стали редкостью; их мощность не превышает 180 Гбит/с, а число IP-источников составляет 60-100 тыс. — они в основном расположены в России, Китае, США и Италии.

Атаки с использованием memcached-посредников, наделавшие много шума в начале года, резко схлынули и тоже сходят на нет из-за сокращения армии уязвимых серверов. Если в феврале Cloudflare зафиксировала memcached-атаку в 260 Гбит/с, то теперь этот показатель, по данным за последний месяц, снизился до 80 Гбит/с.

Категории: DoS-атаки, Аналитика