В период с октября по декабрь компания Incapsula отразила по своей клиентской базе 5055 DDoS-атак — против 5765 в предыдущем квартале. При этом эксперты отметили, что количество атак уровня приложений заметно увеличилось: в четвертом квартале они в среднем регистрировали 237 таких инцидентов в неделю, тогда как в третьем — только 135.

Атаки сетевого уровня (3 и 4) стали не только реже, но также слабее. Так, в отчетный период лишь 3,7% сетевых DDoS превысили 50 Гбит/с, и только 0,7% — 50 Mpps (млн пакетов в секунду). предельные показатели мощности, зафиксированные в отчетный период, составили 335 Гбит/с и 143 Mpps. Большинство инцидентов попали в диапазоны < 10 Гбит (81,6%) и < 10 Mpps (94,7%);  в Incapsula полагают, что авторы этих атак, скорее всего, пользовались услугой «DDoS как сервис».

Рейтинг техник, применяемых дидосерами, вновь возглавили TCP flood (52,6% атак сетевого уровня) и UDP flood (46,9%). Доля SYN flood уменьшилась с 36,7 до 21%, DNS flood — возросла с 11,1 до 19,6%. Атаки с отражением и усилением трафика (DrDoS) сохраняют актуальность: на DDoS с DNS-плечом в четвертом квартале пришлось 17% инцидентов, на NTP-атаки — 32,9%. Доля многовекторных DDoS сократилась на 15,2 процентных пункта и составила 55%.

Средняя продолжительность атак сетевого уровня несколько увеличилась — до 1,3 часа, при этом 10% DDoS продолжались более шести часов. Самая затяжная атака длилась менее суток. В 67,4% случаев дидосеры атаковали мишень повторно.

Говоря о географических предпочтениях атакующих, эксперты отметили рост числа DDoS в Азиатско-Тихоокеанском регионе, представители которого заняли семь из десяти позиций в списке наиболее атакуемых стран. В минувшем квартале на долю лидеров из APAC, по данным Incapsula, совокупно пришлось 68,9% атак сетевого уровня. Этот рейтинг вновь возглавил Гонконг (32,6%), за ним следуют США и Тайвань (21,7 и 14,1% соответственно).

Из отраслей хозяйственной деятельности дидосеры предпочитали атаковать интернет- и веб-сервисы (58,4% DDoS) и игорные сайты (23,6%). Криптовалютные операции тоже пользовались повышенным вниманием — эта категория заняла в ведущей десятке пятую строчку с показателем 3,7%.

Мощность атак прикладного уровня в целом снизилась, хотя квартальный рекорд — 138,99 запросов в секунду — оказался немного выше, чем в предыдущем квартале. Более половины таких DDoS показали от 100 до 1000 запросов/с и, по всей видимости, были делом рук дилетантов, использующих специализированные скрипты и услуги.

Большинство атак уровня приложений продолжались от получаса до шести часов. Повторные DDoS наблюдались в 63,3% случаев — против 46,7% в третьем квартале.

Чаще всего атаки уровня 7 наблюдались в США и Израиле (76,4 и 15,7%). На долю американцев также пришлось 80,5% атакуемых объектов.

Основным источником бот-активности по-прежнему является Китай, вклад которого в мусорный трафик за квартал возрос более чем в два раза и составил 37,4%. Китайскую прописку также имели 65,3% входящих в ботнет устройств, зафиксированных исследователями в ходе атак. Индийские и турецкие боты, столь агрессивные в третьем квартале, заметно умерили свое присутствие на DDoS-арене.

Категории: DoS-атаки, Аналитика, Главное