По данным «Лаборатории Касперского», со второго квартала 2015 года доля мощных DDoS-атак, использующих сетевой протокол UDP, снизилась почти в 10 раз, с 11,1 до 1,5%, и этот тренд, видимо, продолжится и впредь. Новые наблюдения ИБ-компании подтвердили, что на первый план выходят более сложные и затратные, но и более трудные для обнаружения DDoS прикладного уровня, а также комбинированные атаки (на приложения и на оборудование). «Уже за первый квартал этого года мы отразили в несколько раз больше HTTP(S)-атак, чем за весь 2015 год», — пишут эксперты.

В первые три месяца текущего года «лаборанты» зафиксировали DDoS-инциденты в 74 странах мира — против 69 в предыдущем квартале. При этом 93,6% атак были направлены на мишени, прописанные в 10 странах. Напомним, что географию мишеней и источников мусорного трафика «Лаборатория» определяет по принадлежности IP-адресов, а статистику публикует на основании данных об обнаруженных и изученных DDoS-ботнетах.

Списки стран по числу зафиксированных атак и по количеству атакованных мишеней по-прежнему возглавляют Китай, Южная Корея и США. При этом Южная Корея за квартал заметно повысила свои показатели в обоих рейтингах, а США, напротив, снизили. Особо эксперты отметили резко возросшую DDoS-активность на Украине, которая по числу атак поднялась на четвертое место, опередив Россию, а по количеству мишеней — на пятое.

Согласно статистике «Лаборатории», в минувшем квартале соотношение атакующих Linux- и Windows-ботнетов изменилось в пользу последних. Прежде на Windows-боты приходилось 45,2% DDoS-атак, ныне — 55,5%. Их командные серверы остались в тех же странах, существенный рост этого показателя был отмечен в Китае, Великобритании и Франции. Непочетный список вновь возглавила Южная Корея, ухудшившая свой результат с 59 до 67,7%. Эксперты также отметили, что атаки на 99,73% мишеней проводились с участием ботов одного из семейств. В целом наиболее высокую активность по-прежнему проявляли Sotdas, Xor и BillGates.

Примечательно, что ряд DDoS уровня 7, зафиксированных в отчетный период, были направлены на ресурсы самой «Лаборатории», однако они, судя по всему, не имели целью нарушение работы сайтов. Эксперты сочли, что эти атаки — часть общего тренда: «Анализ переписок на подпольных форумах позволяет сделать предположение, что в преступном киберсообществе принято использовать сайты ИБ-компаний в качестве испытательных целей, для тестирования новых методов и инструментов». Такой подход имеет свои положительные стороны: злоумышленники сами отдают в руки исследователей данные, на основании которых можно судить о зарождающихся тенденциях.

Атаки сетевого уровня, проводимые по методу усиления, не утратили своей актуальности, хотя в сравнении с прошлым годом их количество несколько уменьшилось. Эксперты не преминули отметить, что провайдеры, которым доводилось сталкиваться с мощными DDoS, уже обзавелись необходимыми средствами защиты и вполне эффективно справляются с такими угрозами, координируя усилия с безопасниками.

Наиболее распространенными типами атак по-прежнему остаются SYN-DDoS, TCP-DDoS и HTTP-DDoS, хотя вклад первых двух в общий объем несколько снизился, до 54,9 и 21,1% соответственно. Резко, в 2,5 раза, возросла доля ICMP-DDoS, а показатель UDP, напротив, сократился почти вдвое.

Средняя продолжительность DDoS вновь уменьшилась: около 70% атак длились не более четырех часов, а предельное значение — 197 часов (чуть более восьми суток) — оказалось значительно ниже, чем в предыдущем квартале. В то же время резко возрос такой показатель, как максимальное число атак на одну мишень: в минувшем квартале он составил 33 против прежних 24.

Категории: DoS-атаки, Аналитика, Главное