Наблюдатели из Imperva еженедельно фиксируют DDoS-атаки, превышающие 500 Гбит/с, однако с потоком более 500 млн пакетов в секунду (Mpps) они столкнулись впервые. Подобные атаки, по словам экспертов, могут причинить гораздо больший ущерб, так как они нацелены на вывод из строя сетевого оборудования, которое не рассчитано на такие перегрузки, равно как и ходовые средства специализированной защиты.

Мощность DDoS-атак все привыкли оценивать по дополнительной нагрузке на каналах связи. Магистральные провайдеры и специализированные сервисы обычно расширяют полосу пропускания, чтобы ограждать клиентов от таких нападений.

Так, в прошлом году, попытавшись исчерпать пропускную способность магистрали GitHub, злоумышленники создали трафик, побивший все известные рекорды: на пике он достиг 1,35 Тбит/с. Однако защитники с успехом отразили атаку с помощью фильтров: мусорный поток состоял в основном из пакетов большого размера, передаваемых с относительно небольшой скоростью (до 126,9 Mpps), к тому же их порт-источник был одинаков — 11211.

В Imperva считают, что рост показателя мощности DDoS, измеряемого в pps, специализированной защите тоже нужно непременно учитывать. Скорость передачи пакетов важна для обработчиков трафика — коммутаторов, роутеров, программно-аппаратных средств защиты от DDoS-атак. Сетевые устройства в основном проверяют заголовки пакетов, специализированные комплексы — также их содержимое, и производительность этих элементов сетевой инфраструктуры пока оставляет желать лучшего.

Атаку в 500 Mpps специалистам Imperva довелось отражать 10 января. Нападающие использовали две разные техники SYN flood — с пакетами обычной величины и с крупными, размером 800 – 900 байт (в Radware такие атаки называют SYN-цунами). По словам экспертов, порт-источник и порт-адресат мусорных пакетов, направляемых на сервер клиента компании, генерировались случайным образом — не исключено, что атакующие прибегли к спуфингу.

«На самом деле перегрузка на каналах — не лучший способ оценки сложности защиты от [DDoS-]атак или их разрушительного воздействия, — заявил эксперт Imperva Томер Шани (Tomer Shani), комментируя январский инцидент для новостного издания Dark Reading. — Практика показывает, что целесообразнее было бы учитывать число пакетов в секунду (pps)».

В последние годы дидосеры неоднократно пытались обойти современные средства защиты, до предела загружая их вычислительные мощности. Рост количества DDoS с плотным потоком пакетов был зафиксирован в конце 2015 года и первой половине 2016-го, притом злоумышленники уже тогда начали дополнять такие атаки техникой SYN-цунами.

По данным экспертов, предел скорости передачи пакетов в ходе DDoS-атак, нацеленных на истощение сетевых ресурсов, постепенно растет, и важно привести, наконец, защиту в соответствие с новыми уровнями. Так, в III квартале 2014 года был зафиксирован пик в 169 Mpps, в такой же период 2015 года — в 222 Mpps, во II квартале 2016-го — в 363 Mpps. Последний рекорд дидосерам долго не удавалось побить, однако недавняя атака показала, что их возможности еще не исчерпаны.

Категории: DoS-атаки, Главное, Кибероборона