По данным Prolexic Technologies (ныне в составе Akamai), в минувшем квартале инициаторы DDoS-атак активно использовали технику отражения и усиления трафика. Среднестатистическая пиковая мощность DDoS с конца 2013 года повысилась на 114% — в основном за счет мощных атак 3-го и 4-го уровней, использующих CHARGEN-, DNS- и NTP-посредников.   

«В первом квартале авторы DDoS-атак меньше полагались на традиционные бот-инфекции, отдавая предпочтение технике отражения и усиления, — комментирует Стюарт Шолли (Stuart Scholly), первый вице-президент и главный руководитель ИБ-направления Akamai Technologies. — Вместо сети зомби-компьютеров новейшие DDoS-тулкиты используют интернет-протоколы, по которым работают открытые или уязвимые серверы и устройства. Такой подход, полагаем, может привести к тому, что Интернет постепенно превратится в ботнет, всегда готовый обслужить злоумышленников».

Напомним, CHARGEN, DNS и NTP основаны на UDP-протоколе, позволяющем злоумышленникам подменять источник запроса. Кроме того, при использовании этих сетевых протоколов атакующий получает возможность создавать мощный мусорный поток с минимальными затратами. По данным Prolexic, в январе — марте на долю атак с NTP-плечом пришлось 16,6% DDoS сетевого уровня, с DNS — около 9%, с CHARGEN — порядка 3,5%. При этом в предыдущем квартале NTP-атаки составляли менее 1% сетевых DDoS, а ныне по популярности почти сравнялись с SYN flood (17,7%).

Квартальные изменения на DDoS-арене Prolexic суммирует следующим образом:

в сравнении с четвертым кварталом 2013 года

  • общее количество DDoS увеличилось на 18%;
  • средняя мощность атак возросла на 39%, пиковая — на 114%;
  • число атак уровня 3/4 увеличилось на 35% (за счет NTP), на них ныне приходится 87% DDoS;
  • число атак уровня 7 сократилось на 36%;
  • средняя продолжительность DDoS сократилась на 24%, с 23 до 17 часов.

в сравнении с первым кварталом 2013 года

  • общее число DDoS возросло на 47%;
  • средняя мощность DDoS в Гб/с снизилась на 9%, в pps (число пакетов в секунду) повысилась на 24%;
  • пиковая мощность возросла на 133%;
  • количество атак сетевого уровня увеличилось на 68%, прикладного — уменьшилось на 21%;
  • средняя продолжительность атак сократилась на 50%.

Prolexic - динамика роста мощности DDoS, 2013-14 ггРост пиковой мощности DDoS, 2013—2014 годы (Источник: Prolexic)      

Основными мишенями злоумышленников в январе — марте являлись СМИ и индустрия развлечений, на долю которых совокупно пришлось более половины DDoS-трафика, нейтрализованного Prolexic. Ситуацию усугубляет наличие на черном рынке доступного DDoS-инструментария и специализированных сервисов, предоставляющих услуги неискушенным дидосерам.

Самая мощная атака, которую пришлось отражать Prolexic в первом квартале, на пике превысила 200 Гб/с и 53,5 Mpps; ее продолжительность составила более 10 часов. Злоумышленники применили комбинацию разных техник: NTP, DNS и POST flood с использованием тулкита Dirt Jumper Drive. Наибольшая часть отраженного NTP-трафика исходила с территории Южной Кореи (18%), России и Украины (по 15%); DNS — из США (52%), России (15%) и Бразилии (6%); POST-запросы подавались с домашних Windows-компьютеров Турции (19%), Ирана (8%), Аргентины (8%) и ряда других стран.

Эксперты также отметили две нестандартные атаки прикладного уровня, проведенные с использованием пингбэк-опции WordPress. В ходе одной из них за 9 часов было зафиксировано около 50 тыс. обращений, вторая продолжалась 6 часов, за которые на атакуемый сервер было подано около 60 тыс. запросов.

Большая часть неопосредованного DDoS-трафика исходила из азиатских стран, на их долю в десятке лидеров пришлось шесть позиций с совокупной долей 60%. Тем не менее этот непочетный список, как и в предыдущем квартале, возглавили США, вклад которых в общий мусорный трафик несколько уменьшился и составил 21,3%. Второе место занял Китай (17,8%), третье — Таиланд (14,8%), немного опередивший новичка Тор-10 — Турцию (12,7%).

Поскольку Prolexic теперь является частью Akamai, дальнейшие отчеты обеих компаний планируется публиковать объединенными выпусками.

Категории: DoS-атаки, Аналитика