«Лаборатория Касперского» опубликовала отчет о DDoS-атаках, зафиксированных в период с июля по сентябрь. Согласно новым результатам, за три месяца доля атак, проведенных как SYN flood, увеличилась на 5 процентных пунктов. Вклад Linux-ботнетов в общий DDoS-трафик продолжает расти и достиг 78,9% против 70,8% во втором квартале.

Напомним, статистика «Лаборатории» не претендует на полный охват картины, так как основана лишь на данных об активности ботнетов, причем тех, которые были обнаружены и изучены силами ИБ-компании.

В третьем квартале «лаборанты» зарегистрировали DDoS-инциденты в 67 странах. Лидеры рейтинга по этому показателю остались прежними: Китай (72,6% атак), США (12,8%) и Южная Корея (6,3%), которая опустилась на третью строчку. Россия в этом списке поднялась с шестого на пятое место (1,2% против прежних 0,6%). Всего на десятку ведущих стран пришлось 97,4% атак с ботнетов, при этом эксперты особо отметили рост DDoS-активности в Западной Европе, в частности в Италии и Германии.

Наибольшее количество DDoS пришлось на период с 21 июля по 7 августа, причем 3 августа был зафиксирован рекордный показатель для текущего года — 1746 атак в сутки; большая их часть была направлена против провайдера, серверы которого размещены в США.

Разделение атак по используемой технике, согласно «Лаборатории», осталось прежним, хотя доля SYN-DDoS увеличилась до 81%. Продолжительность DDoS в целом снизилась, 69% атак длились не более 4 часов, а доля долговременных атак, от 100 до 149 часов, сократилась с 1,7 до 0,1%. Наибольшую продолжительность показала DDoS, направленная против китайского провайдера, — 184 часа (более семи с половиной суток), тогда как рекорд предыдущего квартала составил 291 час (более 12 суток). По числу атак на одну и ту же цель «отличился» популярный китайский поисковик — 19 в течение квартала.

Страны — лидеры рейтинга по числу активных C&C-ботнетов остались прежними, хотя их совокупный вклад сократился. Первое место в этом непочетном списке занимает Южная Корея (45,8%), за ней следуют Китай и США (12,35 и 9,56% соответственно); строчкой ниже располагается Россия (5,18%). «Лаборанты» также отметили рост участия европейских ресурсов в управлении ботнетами. На долю Западной Европы в третьем квартале пришлось около 13% активных C&C-серверов, обнаруженных исследователями; особо по этому показателю отличились Нидерланды, Великобритания и Франция.

При этом доля атак с Linux-ботнетов (против Windows), как уже говорилось, продолжает расти. «Это коррелирует с ростом популярности SYN-DDoS, для которого Linux-боты являются наиболее подходящим инструментом», — пишут исследователи, добавляя, что причиной также может являться расширение использования в атаках IoT-устройств, работающих на Linux. «Лаборатория» ожидает, что с публикацией исходного кода Mirai этот тренд усилится. Подавляющее большинство DDoS (99,8%), зафиксированных в третьем квартале, проводились с использованием ботов одного семейства.

Эксперты также отметили еще одну тенденцию: рост использования HTTPS дидосерами. Такие атаки обычно создают не очень интенсивные потоки запросов к «тяжелой» части веб-сайтов (например, к поисковым формам), как сказано в блог-записи «Лаборатории». Однако инструменты защиты от DDoS-атак зачастую не умеют расшифровывать трафик «на лету», и запросы атакующих успешно проходят на сервер мишени. «Стремление владельцев веб-ресурсов к защите информации и повышению уровня приватности, а также удешевление вычислительных мощностей привели к возникновению устойчивой тенденции: классический HTTP заменяется на HTTPS, то есть увеличивается доля ресурсов, работающих с использованием шифрования, — комментирует Алексей Киселев, руководитель проекта Kaspersky DDoS Prevention в России. — Разумеется, киберпреступники не могли не попытаться использовать эту ситуацию в своих интересах. Мы полагаем, что количество атак с использованием шифрования будет расти. Намечающаяся тенденция уже сейчас требует от разработчиков систем кибербезопасности в корне пересмотреть подходы к решению проблемы защиты от распределенных атак, поскольку наработанные решения могут оказаться неэффективными уже в ближайшем будущем».

Категории: DoS-атаки, Аналитика, Главное