Верная своему слову, компания Incapsula каждый квартал исправно отчитывается о DDoS-атаках по своей клиентской базе, анализируя данные и выявляя текущие тренды в этой области. В конце января борцы с DDoS, работающие в составе Imperva, опубликовали очередной отчет, суммировав свои находки за период с 1 октября по 29 ноября 2015 года.

Совокупно за это время Incapsula довелось отразить 3997 атак сетевого уровня и 5443 атаки на приложения. В качестве основной тенденции на DDoS-арене эксперты отметили рост числа очень коротких, интенсивных и многократно повторяющихся инцидентов, заставляющих мишень из раза в раз активировать свои защитные решения до тех пор, пока «лекарство не станет почти столь же губительным, как сама болезнь».

Согласно статистике Incapsula, количество атак сетевого уровня в отчетный период увеличилось на 25,3% (с учетом роста клиентуры компании), хотя в предыдущем квартале прирост этого показателя был много больше — 108,5%. Этот тренд эксперты объясняют в основном расширением использования теневых DDoS-сервисов, позволяющих каждому, у кого есть PayPal-аккаунт, инициировать атаки средней и большой мощности, продолжительностью от 30 минут до 1 часа.

По этой же причине, как считают исследователи, многовекторные атаки продолжают идти на спад. В четвертом квартале на их долю пришлось лишь 24,4% DDoS-инцидентов, тогда как в третьем было 38,5%.

Подавляющее большинство атак уровня 3 и 4 были очень мощными и непродолжительными. Так, 82,9% таких DDoS длились менее получаса при зафиксированном максимуме 35 часов. Самая мощная из атак сетевого уровня, проведенная как SYN flood, продолжалась лишь 40 минут, показав на пике 325 Гбит/с и 115 Mpps (млн пакетов в секунду). Такие инциденты, по мнению Incapsula, опасны вдвойне, это даже более серьезная угроза, чем атаки с отражением и усилением мусорного потока (DrDoS).

Эксперты также отметили, что зачастую злоумышленники вновь и вновь возвращались к той же цели и били по ней по нескольку часов. С точки зрения защитников, такие короткие повторяющиеся удары более опасны, чем непрерывная, пусть даже продолжительная, атака. Противодействие в этом случае помимо возможности масштабирования требует также наличия средств раннего обнаружения и быстрого реагирования, которыми может похвастаться далеко не всякое современное защитное решение, разве что те, которые работают на уровне BGP.

Число инцидентов типа TCP floods, по данным Incapsula, возросло в два раза. Особо эксперты отметили учащение мощных DDoS, использующих пакеты небольшого размера (при технике SYN/TCP, UDP flood). Такие атаки эффективно выводят из строя сетевые маршрутизаторы, коммутаторы и защитные решения, неспособные справляться с высокими нагрузками по Mpps. Так, защитные комплексы текущего поколения могут выдержать поток в 4–5 Гбит/с, но, когда речь заходит о скорости обработки пакетов, их предел — поток 64-байтных пакетов уровня ниже 1 Mpps.

Incapsula - векторы DDoS, 4Q2015

Распределение DDoS по вектору атаки, 4-й квартал 2015 года (источник: Incapsula)

Атаки прикладного уровня также становятся короче, не теряя при этом своей эффективности. Согласно статистике Incapsula, 58% таких инцидентов длились менее часа, самая долгая атака — 101 день, она продолжается и поныне. Примечательно, что ее мишенью является небольшая американская компания, представляющая индустрию общественного питания.

Самая мощная атака уровня 7 была направлена против китайской торговой онлайн-площадки; это был сильный, очень краткий залп с ботнета, на пике показавший свыше 160 запросов в секунду.

В 44,7% случаев мишень была атакована повторно, в 18% — более пяти раз. Эксперты подчеркивают, что провести эффективную атаку на уровне приложений несложно: нескольких скомпрометированных устройств вполне достаточно для генерации потока, способного положить сайт средней величины и надолго парализовать его работу.

Примечательно, что 3,7% атак прикладного уровня проводились по методу отражения и использовали известную уязвимость в плагине Googlemaps для Joomla. Эта брешь давно закрыта, однако патч, по всей видимости, установили далеко не все пользователи, что оказалось на руку злоумышленникам.

Географическое распределение мишеней и источников DDoS в минувшем квартале почти не изменилось. Около половины (47,6%) вредоносного бот-трафика было направлено на сайты, прописанные в США. Заметно участились атаки на британские (с 2,5 до 23,2%) и японские (с 1,2 до 8,6%) ресурсы. Лидеры по исходящему мусорному трафику остались прежними: Китай (39,8%), Южная Корея (12,6%), США и Вьетнам (11,7 и 5,8% соответственно).

При этом Incapsula отметила, что китайские DDoS-боты оставляют вдвое больше отпечатков в ее сети, чем легитимные пользователи этой страны. Однако рекордсменами в этом плане являются боты Кореи и Вьетнама: в обоих случаях легитимные визиты из этих стран на сайты, опекаемые Incapsula, составляют лишь около 0,9%. Заметим, Россия в обоих рейтингах Incapsula занимает десятую строчку с показателями 0,3% (мишени) и 1,3% (источники).

В текущем году эксперты ожидают дальнейшую экспансию мощных DDoS и рекомендуют запасаться средствами обороны, способными справиться с высокими нагрузками как в Гбит/с, так и в Mpps. «Оба тренда связаны с эволюцией в индустрии средств защиты, которая на протяжении года многократно демонстрировала свою способность справляться с традиционными, продолжительными и мощными DDoS-угрозами, — пишут исследователи в блоге. — Эта дверь теперь закрыта, и злоумышленники вынуждены выходить за рамки стандарта «100 Гбит/с» и искать новые слабые места в линии обороны».

С полнотекстовой версией отчета Incapsula можно ознакомиться на сайте компании (без регистрации).

Категории: DoS-атаки, Аналитика, Главное