Отчитываясь за последние три месяца прошлого года, эксперты Incapsula отметили рост числа коротких, повторяющихся DDoS сетевого уровня с высоким числом Mpps (млн пакетов в секунду), создающим перегрузки на коммутаторах. Согласно новому отчету компании, в первом квартале 2016 года сетевые атаки мощностью свыше 50 Mpps происходили в среднем раз в четыре дня, свыше 80 Mpps — раз в восемь дней. Несколько DDoS, которые отразила Incapsula, превысили 100 Mpps, самая мощная на пике показала 120+ Mpps.

Эксперты полагают, что подобные атаки являются попыткой обойти современные средства специализированной защиты. Большинство таких решений весьма эффективны, когда речь идет о DDoS, нацеленных на исчерпание пропускной способности магистральных каналов (измеряемой в Гбит/с). Однако эта защита зачастую оказывается бессильной, если на мишень обрушивается поток из мелких пакетов, передаваемых с высокой скоростью (измеряемой в Mpps).

Примечательно, что атакующие нередко сочетали разные векторы, что позволяло им наращивать мощность как в Mpps, так и в Гбит/с. По данным Incapsula, наиболее ходовым DDoS-сценарием в отчетный период являлась комбинация из UDP flood с высоким числом Mpps и техники DNS-усиления, создающей перегрузки на каналах. В результате число атак с DNS-плечом за квартал возросло на 6,3%.

Количество мультивекторных атак тоже заметно увеличилось, на их долю в январе — марте пришлось 33,9% DDoS — на 9,5% больше, чем в предыдущем квартале.

Incapsula - векторы DDoS, 1Q2016

Распределение DDoS по векторам, первый квартал 2016 года (источник: Incapsula)

Инициаторы атак уровня 7 (приложений) также пытались обойти защитные решения. Incapsula зафиксировала рост числа DDoS-ботов, способных обходить стандартные фильтры; 18,9% бот-трафика генерировали боты, умеющие принимать и удерживать куки, 17,7% — боты, выполняющие парсинг JavaScript. Эксперты отмечают, что такие возможности в сочетании с HTTP-отпечатками легитимного вида помогают вредоносным ботам эффективно обманывать традиционные средства детектирования.

Из новых тенденций Incapsula также отметила технику HTTP/HTTPS POST flood — поток запросов большого размера, способный вывести из строя сетевое соединение мишени.

Частота DDoS прикладного уровня продолжает расти. В минувшем квартале половина сайтов, опекаемых Incapsula, подвергалась повторным атакам.

Более половины атак уровня 7 были направлены против американских ресурсов. Список стран — источников бот-трафика по итогам первого квартала возглавила Южная Корея с показателем 29,5%. По наблюдениям экспертов, бот-активность в этой стране начала резко расти около года назад, этот тренд продолжается и поныне. Второе место в этом непочетном рейтинге заняла Россия (10,8%), третье — Украина (10,1%).

По данным Incapsula, большинство бот-трафика, исходящего из Южной Кореи, генерируют Nitol (52,9%) и PCRat (38,2%). Эти ботнеты атакуют преимущественно сайты, размещенные в Японии (38,6% атак) и США (30,3%). Эксперты также отметили внезапную активизацию Windows-троянца Generic!BT, впервые идентифицированного в 2010 году. В минувшем квартале устройства, зараженные Generic!BT и используемые в DDoS-атаках, были обнаружены на 7756 IP-адресах, прописанных в 52 странах, в основном в Восточной Европе, в том числе в России (52,6%) и на Украине (26,6%).

Категории: DoS-атаки, Аналитика, Главное