Компания Incapsula (собственность Imperva) опубликовала статистику по DDoS-атакам, отраженным по ее клиентской базе в течение второго квартала текущего года. В отчетный период эксперты зафиксировали более 15 тыс таких инцидентов, в том числе 12 825 атак уровня приложений.

Согласно наблюдениям Incapsula, количество DDoS сетевого уровня (3 и 4) продолжает снижаться. Так, во втором квартале специалисты в среднем регистрировали 196 атак в неделю, тогда как в предыдущем — 269. Недельная норма атак на приложения (уровня 7) тоже сократилась, но не столь значительно — с 1099 до 973.

Самая мощная DDoS сетевого уровня, с которой Incapsula столкнулась в течение квартала, на пике показала 350 Гбит/с. Ее инициаторы применили новую тактику — pulse-wave, «пульсирующую» атаку с ботнета, которая проводится короткими и мощными залпами, с быстрой сменой мишеней.

Другой показатель мощности DDoS сетевого уровня, измеряемый количеством пакетов в секунду (pps), в отчетный период достиг 190 Mpps.

Средняя продолжительность атак сетевого уровня за квартал несколько увеличилась — с 29 до 34 минут, хотя 82,5% DDoS, по данным Incapsula, длились менее получаса. Самую затяжную атаку пришлось отражать в течение 147 часов (более шести суток).

Большинство DDoS сетевого уровня представляли собой комбинацию из разных flood-атак: ICMP, TCP, UDP и SYN. При этом использование UDP flood и TCP flood в целом увеличилось, ICMP flood и SYN flood — напротив, уменьшилось.

network-layer-DDoS-vectors-Incapsula-2Q2017

Разделение DDoS сетевого уровня по векторам атаки, II квартал (источник: отчет Incapsula)

Использование многовекторных атак, достигшее рекордных высот в предыдущем квартале (40,5%), сократилось до 21,7% — в основном, за счет уменьшения количества двухвекторных атак.

Самая мощная DDoS прикладного уровня на пике показала 89 134 запроса в секунду, притом продолжительность этой атаки составила 48 суток. Больше половины атак 7-го уровня продолжались менее получаса, однако в 75,8% случаев злоумышленники возвращались и повторно били в ту же цель. В течение квартала на каждую цель, по статистике Incapsula, в среднем пришлось 11,5 атак; 19,5% мишеней были атакованы более 10 раз.

Чаще прочих злоумышленники атаковали ресурсы, прописанные в США (79,7% атак), из остальных — британские и испанские сайты (по 2,1%).

Список стран-источников вредоносного трафика по-прежнему возглавляет Китай (63% общего объема), где в отчетный период было зафиксировано более 360 тыс. активных DDoS-ботов. Второе место заняли США с показателем 6,4%, ниже следуют Турция (2,1%), Украина и Индия (1,9 и 1,8% соответственно).

Как пишут исследователи, резкий рост бот-активности в Турции, Украине и Индии стал для них неожиданностью. На территории Турции было зафиксировано свыше 3 тыс устройств, используемых в DDoS-атаках; за квартал они совокупно сгенерировали более 800 млн запросов — вдвое больше против прежнего показателя этой страны. На долю Украины и Индии совокупно пришлось 4,3 тыс зараженных устройств — на 75% больше, чем в предыдущем квартале. Совокупный выход украинских и индийских ботов во втором квартале составил 1,45 млрд DDoS-запросов.

Категории: DoS-атаки, Аналитика, Главное