По свидетельству Prolexic Technologies, специалиста по облачной защите от DDoS, в третьем квартале злоумышленники сменили тактику, сделав ставку на повышение мощности атак и сокрытие их источников. Нападающие все чаще отдают предпочтение так называемым DrDoS (distributed reflection denial of service) — атакам, усиленным по методу отражения запросов. Такие атаки позволяют сохранить анонимность источника и усилить мусорный трафик за счет использования мощностей устройств-посредников, которые в этих случаях становятся невольными соучастниками DDoS-нападения.

«Важной особенностью минувшего квартала является резкий рост числа атак с отражением запросов, — комментирует Стюарт Шолли (Stuart Scholly), президент Prolexic. — По сравнению с третьим кварталом 2012 года их количество увеличилось на 265%, с предыдущего квартала — на 70%. Факт налицо: инициаторы DDoS нашли более простой и эффективный способ проведения мощных атак с небольших ботнетов, и это не может не вызывать тревогу».

Согласно статистике компании, в июле – сентябре квартальный показатель по числу DDoS-атак, проведенных по ее клиентской базе, оказался рекордным. Наиболее «урожайным» месяцем был июль, на который пришлось 36,7% квартальных инцидентов. Пиковая мощность DDoS-трафика в среднем за квартал составила 3,06 Гб/с; другой, не менее важный показатель, число пакетов в секунду, на пике достиг 4,22 Mpps. Квартальный рекорд по пиковой мощности — 120 Гб — был зафиксирован во время атаки на европейскую медиакомпанию. Следует отметить, что Prolexic больше не использует такую меру, как среднестатистические показатели мощности DDoS, так как считает, что пиковые мощности лучше характеризуют силу мусорного потока и более полезны для планирования пропускной способности каналов.

В кратком виде зафиксированные Prolexic изменения выглядят следующим образом.

В сравнении с предыдущим кварталом:

  • общее число DDoS возросло на 1,58%;
  • количество атак прикладного уровня уменьшилось на 6% (23,5% инцидентов);
  • число атак сетевого (3-го и 4-го) уровня увеличилось на 4% (76,5% инцидентов);
  • средняя продолжительность атак сократилась на 44%, до 21,33 часа (DrDoS менее продолжительны, чем автоматизированные атаки с серверных ботнетов, которые с июля не наблюдались).

В сравнении с третьим кварталом 2012 года:

  • общее число атак возросло на 58%;
  • число атак 7-го уровня увеличилось на 101%;
  • количество атак 3-го и 4-го уровня увеличилось на 48%;
  • средняя продолжительность DDoS-инцидентов возросла на 12,3%.

Количество атак на приложения, по наблюдениям Prolexic, остается достаточно стабильным. Такие DDoS достаточно эффективны и требуют меньше ресурсов (ботов). Наиболее популярным типом атак 7-го уровня в отчетный период являлся HTTP GET (18% DDoS-инцидентов), доля HTTP POST составила 3,4%, SSL GET — 0,78%. «Данные за третий квартал также показывают, что атаки на сетевую инфраструктуру сохранили свой вклад в общий объем, однако внутри этой группы произошли заметные изменения: UDP показали резкий скачок, а SYN — соответственный спад, — отмечает Шолли. — С учетом роста популярности техники отражения можно сказать, что минувший квартал продемонстрировал значительные изменения в методике проведения атак, и всем бизнесменам надо взять это на заметку».

На долю UDP в отчетный период пришлось 29,32% инцидентов, при этом квартальный прирост составил 10 процентных пунктов. Многие из этих атак проводились как DrDoS, используя в качестве плеча DNS-серверы или устройства, работающие по протоколу CHARGEN (Character Generation Protocol, применяется для тестирования и отладки сетевых соединений). Эксперты отмечают, что UDP-атаки с использованием CHARGEN быстро набирают популярность и все чаще включаются в пакеты услуг DDoS-as-a-Service. Такие атаки просты в исполнении, но потенциально более опасны, чем атаки на приложения, в них нередко участвуют уязвимые WordPress-сайты.

В июле – сентябре Prolexic наблюдала резкий рост числа CHARGEN-атак, на долю которых в итоге пришлось 3,37% DDoS, тогда как в предыдущем квартале этот тип в общем списке отсутствовал. По мнению экспертов, внезапная популярность этих DrDoS обусловлена появлением новых методов и инструментов, таких как бесплатные сканеры уязвимых портов, а также наличием в Сети сотен тысяч активных веб-серверов с уязвимыми CHARGEN-сервисами. Спрос на списки таких плохо сконфигурированных серверов за квартал заметно возрос.

CHARGEN-атаку можно сразу распознать по использованию UDP-порта 19. Атакующий использует штатную XML-RPC pingback-функцию посредников, включенную по умолчанию (в новых версиях WordPress такой дефолт исправлен), и посылает запросы, подставляя IP жертвы в качестве источника. В итоге все XML-ответы «плечевых» ресурсов направляются на мишень, усиливая мусорный трафик до 17 раз. Простая CHARGEN-атака с участием одного-двух веб-серверов может положить стандартный 1 Гб VPS в секунды. За квартал Prolexic отразила две такие атаки, исходившие из Китая; обе на пике показали 2 Гб/200 Кpps, их продолжительность составила 1,5 и 0,5 часа соответственно.

Рейтинг источников DDoS-атак в разделении по странам возглавил Китай с долей 62% против 39% в предыдущем квартале. В этой стране были обнаружены несколько тысяч открытых CHARGEN-серверов, генерирующих мусорный трафик. Второе место заняли США (9%, ранее — 4%), за ними следуют Южная Корея (7%), Бразилия (4,46%) и Россия (4,45%, ранее — 7,58%). Занимавшая вторую ступень Мексика выбыла за пределы Tор-10.

В квартальном отчете Prolexic также детализирована многоуровневая, многовекторная DDoS, мощность которой на пике составила 120 Гб/>8 Mpps. В атаке было задействовано большое количество IP-адресов, преимущественно с европейской пропиской. Атакующие последовательно применяли DNS flood, GET flood, TCP, SYN flood, UDP flood и CHARGEN. Тактика менялась на лету, и в такой ситуации автоматические средства противодействия оказались бессильными. Однако благодаря непрерывному мониторингу защитникам удалось отследить и достойно парировать все ходы противника.

Категории: DoS-атаки, Аналитика, Главное