С начала 2013 года компания Incapsula наблюдает устойчивое и весьма заметное возрастание мощности DDoS-атак сетевого уровня (3 и 4). Росту этого показателя, по мнению экспертов, в большой мере способствует расширение использования таких техник, как SYN flood и атака с NTP-усилением.

Incapsula - рост мощности DDoS-атак

Рост мощности DDoS-атак (источник: Incapsula)

Так, в феврале прошлого года максимальная мощность DDoS-трафика, направленного на сетевую инфраструктуру клиентов Incapsula, составила 4 Гб/с. К июлю эксперты еженедельно фиксировали 60 Гб и выше, а в феврале 2014 года злоумышленники провели DDoS-атаку с NTP-плечом, которая на пике составила 180 Гб. Как показывает практика, для NTP-атак это не предел: в том же месяце, согласно другим источникам, в Западной Европе был установлен рекорд по пиковой мощности DDoS — 400 Гб.

«Еще в феврале 2013 года нам удалось отследить веб-сервер — единственный источник 4 Гб атаки, который в случае усиления мог бы в одиночку создать более 200 Гб мусорного трафика, — отмечает Incapsula в своем годовом отчете, включившем также итоги двух первых месяцев 2014 года. — Наличием таких ресурсов, скорее всего, и объясняется рост мощности атак, который мы наблюдали на протяжении года».

В настоящее время на долю мощных DDoS (в классификации компании — уровня 20 Гб и выше) приходится около трети атак. Столь мощный поток злоумышленники получают, используя SYN flood с большими пакетами, а также технику усиления через DNS- или NTP-плечо.

Incapsula - типы DDoS уровня 3/4

Типы DDoS-атак уровня 3/4, январь-февраль 2014 года (источник: Incapsula)

Нововведением на DDoS-арене является так называемая тактика коротких ударов (hit and run, наскок-отход). Такие «залпы» довольно ощутимы, но продолжительность каждого составляет лишь от 20 до 60 минут, после чего атака стихает, чтобы возобновиться вновь через 12 часов или двое суток. Эти серийные DDoS, долбящие мишень изо дня в день на протяжении нескольких недель, были впервые замечены в апреле 2013 года. По данным Incapsula, подобная тактика обычно применяется против защитных сервисов, которые запускаются вручную (создание тоннелей с помощью GRE-протокола, перемаршрутизация DNS). Применение атак hit and run, отмечают эксперты, постепенно меняет профиль индустрии защиты от DDoS, повышая значение интегрированных решений, которые всегда находятся в состоянии готовности.

Возросла и совокупная мощность многовекторных DDoS-атак. Так, 81% инцидентов, зафиксированных Incapsula с декабря по февраль, использовали не менее двух разных направлений атаки. «Многовекторная тактика повышает шансы атакующих на успех, так как удар направлен против нескольких разных сетевых или системных ресурсов, — отмечено в отчете компании. — Комбинация техник также часто применяется для создания эффекта «дымовой завесы»: один прием используется как маневр, отвлекающий внимание от другого вектора атаки». Кроме того, многовекторные атаки могут также использоваться для сбора разведданных методом проб и ошибок.

Incapsula - многовекторные DDoS

Многовекторные DDoS-атаки (источник: Incapsula)

В настоящее время наиболее популярной комбинацией DDoS является двойной SYN flood, выполняемый подачей стандартных и больших (свыше 250 байт) SYN-пакетов. «Данный сценарий предполагает одновременное использование обеих техник, — поясняют эксперты. — Поток обычных SYN-пакетов призван истощить системные ресурсы сервера (например,  вызвать перегрузку ЦП), а крупноразмерные пакеты забивают каналы. Сегодня комбинированные SYN-атаки составляют примерно 75% мощных (с пиком выше 20 Гб/с) DDoS сетевого уровня. В целом наиболее распространенным типом DDoS является SYN с большим размером пакетов, на долю таких инцидентов приходится 26% атак сетевого уровня».

Тем не менее в минувшем феврале по частоте всех затмили атаки с NTP-плечом. Это может быть началом нового тренда или просто временным всплеском, но делать такие заключения, по мнению экспертов, пока еще рано.

Что касается атак прикладного уровня, их мощность практически не изменилась: потока 50–100 запросов в секунду по-прежнему достаточно, чтобы нарушить работу большинства сайтов среднего размера. Большинство такого DDoS-трафика генерируют специализированные боты, совокупная активность которых за 14 месяцев возросла, по оценкам Incapsula, на 240%. При этом более четверти бот-трафика исходило из Индии, Китая и Ирана, США по этому показателю заняли 5-е место с долей 4,26%, Россия — 8-е (3,45%). Произвольная выборка из атакующих IP-адресов выявила большое количество уязвимых частных сайтов, многие из которых работают на платформе WordPress.

Категории: DoS-атаки, Аналитика, Главное