Компания Arbor Networks, ныне ИБ-подразделение NetScout Systems (та ее выкупила у Danaher полгода назад), опубликовала итоги опроса о DDoS-атаках, проведенного в минувшем году. Согласно этим результатам, атаки мощностью более 100 Гбит/с пережили порядка 25% клиентов Arbor, а несколько зафиксировали на пике 337, 425, 450 и даже 500 Гбит/с.

Рекордные цифры, приведенные респондентами, пока не подтверждены специалистом по защите от DDoS, однако столь высокий уровень вполне вероятен ввиду общей тенденции к наращиванию мощности DDoS-инцидентов. «В прошлом году лишь 20% сервис-провайдеров доложили об атаках, превышающих 50 Гбит/с, — комментирует Гэри Сокрайдер (Gary Sockrider), ведущий ИБ-эксперт Arbor и один из соавторов годового отчета. — В этом году почти четверть зафиксировала более 100 Гбит/с».

Сокрайдер также отметил перемены в мотивации DDoS-атак. Долгое время причиной большинства таких киберинцидентов являлся «идеологический хактивизм», в 2014 году на смену ему пришли «нигилизм и вандализм», а в 2015 году авторы DDoS в основном демонстрировали свою силу, стремились подорвать игровой бизнес или занимались вымогательством. Участники ежегодных опросов Arbor также стали чаще сталкиваться с DDoS, проводимыми в качестве отвлекающего маневра при внедрении вредоносного ПО или выводе данных.

Продолжает расти не только мощность, но и сложность DDoS-атак. В минувшем году мультивекторные инциденты зафиксировали более половины участников опроса (56% против 42% в 2014 году). Атаки прикладного уровня пережили 93% опрошенных, причем целью этих DDoS чаще являлся DNS-сервис, а не HTTP. В трети таких случаев атака влекла поражение в доступе для пользователей.

Облачные сервисы по-прежнему привлекательны для дидосеров. В 2013 году такие атаки отметили 19% респондентов Arbor, год спустя — 29%, в прошлом году этот показатель вырос до 33%. В дата-центрах современные DDoS в половине случаев забивают интернет-каналы; кроме того, операторы дата-центров все чаще регистрируют исходящий мусорный трафик с серверов в своих сетях (34% против 24% в 2014 году).

Более половины корпоративных пользователей в качестве результата атаки указали отказ межсетевого экрана. Как уже не раз отмечалось, сетевой экран — плохая защита от масштабной и мощной DDoS; более того, в таких случаях он лишь расширяет площадь атаки, так как при большом потоке он быстро теряет способность различать легитимный и паразитный трафик и лишь усугубляет задержки в сети.

В то же время еще один соавтор отчета Arbor, Даррен Энсти (Darren Anstee), с удовлетворением отметил расширение использования специализированной защиты. «Соотношение респондентов, использующих интеллектуальные системы защиты от DDoS (Intelligent DDoS Mitigation Systems, IDMS), возросло как на предприятиях, так и в среде сервис-провайдеров», — констатирует эксперт.

«В этом году мы вновь наблюдаем значительный рост показателя для сервис-провайдеров, способных погасить DDoS-атаку менее чем за 20 минут, — вторит ему Сокрайдер. — С учетом того, что в настоящее время эти возможности есть у двух третей провайдеров, параллельный тренд к сокращению продолжительности атак вряд ли может кого-то удивить».

Опрос Arbor охватывает период с ноября 2014-го по ноябрь 2015 года. В нем приняли участие 352 респондента — интернет-провайдеры уровня 1, 2 и 3, хостинг-провайдеры, а также операторы мобильных, корпоративных и других сетей из разных регионов. Почти половину этой аудитории составили представители бизнес-структур (38% опрошенных), правительственных и образовательных учреждений (6 и 4% соответственно).

Категории: DoS-атаки, Аналитика, Главное, Кибероборона