День святого Валентина — горячее время для всех торговцев цветами, и злоумышленники отлично это знают. Так, на прошлой неделе Incapsula зафиксировала общий рост количества обращений на всех сайтах, принадлежащих ее 34 клиентам-флористам. Одновременно возрос также бот-трафик на этих ресурсах, причем в 91% случаев вздувшийся поток носил все признаки DDoS-атаки.

Колоссальная прибыль, которую получают труженики цветочной индустрии в праздничные дни, кому-то явно не дает покоя. Примечательно, что в период с 5 по 11 февраля 23% сайтов из выборки Incapsula показали резкие, до 20 тыс. и более запросов в секунду, пики по вредоносному трафику. Это заставило исследователей предположить, что они наблюдают целевые, а не ковровые DDoS-атаки. В пользу этой гипотезы говорит также вымогательское письмо, полученное одним из атакованных флористов.

Особо эксперты отметили очень показательный случай: жертва DDoS прибегла к их услугам после того, как ее CDN-провайдер, приняв атаку прикладного уровня за обычную перегрузку на сайте в преддверии праздника, направил весь мусорный поток напрямую на серверы (минуя забитый кэш). В итоге сайт флориста упал, а его хозяин понес убытки в виде упущенной выгоды.

В своем блоге Incapsula приводит несколько примеров атак на приложения, которые ей довелось отражать на прошлой неделе. Судя по скриншоту, вредоносный поток генерировали боты из Франции и Латвии, а также сканеры уязвимостей, прописанные в Великобритании. Особенно усердствовал британский владелец сканера, заточенного под давнюю уязвимость Shellshock, которая в силу своей масштабности до сих пор еще не везде закрыта.

Свой краткий отчет исследователи заключают рекомендациями по защите от DDoS — заметим, полезными не только флористам:

  • вести постоянный мониторинг трафика с целью своевременного обнаружения отклонений от нормы — необычных и резких перегрузок, обращений с незнакомых IP-адресов и из непривычных регионов;
  • следить за обсуждением текущих событий в социальных сообществах (Twitter, Pastebin.com) — они могут быть провозвестником грядущей атаки;
  • заблаговременно произвести оценку наличных средств защиты от DDoS, лучше с помощью сторонних специалистов;
  • выработать план действий на случай вынужденного простоя и сформировать специальную группу для ликвидации последствий атаки, включив в нее для большей эффективности представителей службы техподдержки и специалистов по связи.

Категории: DoS-атаки