Согласно статистике «Лаборатории Касперского», с начала августа до середины сентября на DDoS-фронте наблюдалось отпускное затишье. Тем не менее в минувшем квартале эксперты зафиксировали DDoS-атаки в 79 странах мира. При этом более чем в 90% случаев мишени злоумышленников были ограничены территорией 10 стран. Лидеры по количеству инцидентов, как и по числу атакованных целей, остались прежними: Китай, США и Республика Корея.

За три месяца показатели этой троицы в обоих рейтингах заметно выросли, особенно у Кореи, на долю которой в третьем квартале пришлось 17,7% атакованных мишеней и 14,1% исходящих атак против прежних 9,8 и 9,0% соответственно. Показатели России, входящей в обоих случаях в ведущую пятерку, продолжают снижаться.

Напомним, статистика «Лаборатории» по DDoS основана на показаниях ее службы мониторинга выявленных ботнетов, а географическое местоположение жертв и источников мусорного трафика определяется по принадлежности их IP-адресов.

Республика Корея также увеличила свой результат по размещению командных серверов — с 34% в предыдущем квартале до 56,6% — и осталась во главе этого непочетного списка. Примечательно, что этот прирост произошел за счет центров управления Nitol, который, по наблюдениям «лаборантов», стал активнее использовать динамические DNS-сервисы вроде no-ip.org и codns.com. Показатели двух других лидеров C&C-рейтинга, США и Китая, заметно снизились.

Наибольшую активность проявляли ботнеты, построенные на основе Linux-серверов — их вклад в DDoS-трафик, по данным «Лаборатории», увеличился с 37,6 до 45,6%:

Лаборатория Касперского 3Q2015 Linux-DDoS

Соотношение атак с Windows- и Linux-ботнетов (источник: «Лаборатория Касперского»)

Самым примечательным в этом плане является азиатский ботнет, основанный на XOR DDoS, с которого проводятся атаки против игровых сообществ и образовательных учреждений. По свидетельству «лаборантов», на настоящий момент данный ботнет способен реализовать DDoS мощностью 109–179 Гбит/c по сценарию SYN flood или DNS flood и активно атакует ресурсы, прописанные в Китае. Растущую популярность серверных Linux-ботнетов в среде киберкриминала эксперты объясняют высокой пропускной способностью каналов и низкой защищенностью Linux-машин, хотя боты в данном случае достаточно сложны и недешевы.

По данным «Лаборатории Касперского», в июле — сентябре 99,3% мишеней были атакованы ботами одного семейства. В целом больше половины DDoS использовали технику SYN flood, 16,4% — протокол TCP, 14,9% — HTTP. Вклад ICMP DDoS за два квартала возрос более чем вдвое и ныне составляет 5,1%.

Подавляющее большинство DDoS-атак в отчетный период длились менее суток, около 75% — менее четырех часов. Примечательно, что при этом выросло количество атак продолжительностью неделю и более. Был побит также предыдущий рекорд 205 часов — новый предел составил 320 часов (13 с половиной суток).

Из актуальных трендов эксперты отметили рост вымогательских DDoS-атак на финансовые организации, в том числе на российские банки, и расширение спектра атакуемых целей, связанное с наличием на черном рынке готовых инструментов и сервисов, которые становятся все более доступными. Так, «Лаборатории Касперского» уже больше года приходится держать оборону образовательного портала Татарстана, потому что нерадивым учащимся, видимо, проще пресечь родителям доступ к информации с помощью DDoS, чем подтянуть успеваемость.

Категории: DoS-атаки, Аналитика, Главное