По данным компании Prolexic Technologies, специализирующейся на защите от DDoS, в апреле — июне общее количество атак на ее клиентов увеличилось на 20%. Средняя мощность DDoS-атак составила 49,24 Гбит/с, что на 925% больше, чем год назад. Второй, не менее важный показатель по паразитному трафику, скорость передачи пакетов (pps), за год повысился на 1655% — до 47,4 млн пакетов в секунду. Средняя продолжительность DDoS-атак за квартал возросла на 10%, за год — на 123%.

«В минувшем квартале мы зафиксировали повышение всех основных показателей по DDoS, по некоторым позициям весьма значительное, — констатирует Стюарт Шолли (Stuart Scholly), президент Prolexic. — DDoS-атаки становятся все более масштабными, мощными и продолжительными. Мы полагаем, что наблюдаемое увеличение показателей вызвано ростом популяции и размеров ботнетов, построенных на скомпрометированных веб-серверах, работающих с Joomla или WordPress».

Зафиксированные Prolexic квартальные и годовые изменения компания подытожила следующим образом:

в сравнении со II кварталом 2012 г.

  • общее количество инцидентов увеличилось на 33,8%;
  • средняя мощность DDoS-атак возросла на 925%;
  • среднее число передаваемых пакетов в секунду (pps) увеличилось на 1655%;
  • среднестатистическая продолжительность атаки повысилась на 123,5%, с 17 до 38 часов;
  • число атак сетевого уровня (3 и 4) возросло на 23,2%, прикладного уровня — на 79,4%.

в сравнении с I кварталом 2013 г.

  • число инцидентов увеличилось на 20%;
  • средняя мощность атак возросла на 2%, с экс-рекордных 48,25 Гб до 49,24 Гб;
  • средний pps-показатель повысился на 46,3%, с 32,4 млн до 47,4 млн пакетов в секунду;
  • продолжительность атаки увеличилась на 10%, с 34,5 до 38 часов;
  • число атак сетевого уровня выросло на 17,4%, 7-го уровня — на 28,9%.

«DDoS-атаки становятся более затяжными, скорее всего, потому, что их инициаторов меньше заботит сокрытие и защита ботнетов, — поясняет Шолли. — Наличие в Сети большого количества скомпрометированных веб-серверов в значительной мере облегчает злоумышленникам задачу по восполнению, расширению или перегруппировке ботнетов. Традиционные ботнеты выстраивались на базе скомпрометированных станций-клиентов. Этот процесс подразумевал распространение вредоносных программ и их заселение на пользовательские ПК, на что уходило много времени и усилий. Безопасности таких ботнетов и защите их от обнаружения уделялось много внимания, поэтому и сами атаки были менее продолжительными».

В апреле — июне, как и в предыдущем квартале, подавляющее большинство отраженных Prolexic DDoS-атак использовали протоколы 3-го и 4-го уровней. На их долю в отчетный период пришлось 74,7% инцидентов. При выборе техник злоумышленники отдают предпочтение SYN flood (31,2% атак), популярность которой за два года заметно выросла. Вторым резвым фаворитом, согласно статистике компании, является HTTP GET (21,5%) — тип атаки прикладного уровня, стандартно поддерживаемый коммерческими инструментами вроде Optima Darkness и Black Energy. HTTP GET эффективно выводят из строя атакуемое приложение и имитируют легитимный трафик, требуя дополнительных средств защиты. ICMP flood и UDP flood тоже нередки (15,2 и 10,4% соответственно), но постепенно теряют свои позиции, причем первый — особо стремительно.

Количество DNS-атак, как стандартных flood, так и усиленных по методу отражения запросов (DNS reflection), за год увеличилось на 5,5%; во II квартале на их долю пришлось 7,25% инцидентов. DNS reflection и другие виды атак с плечом (DrDoS) приобретают все большее распространение, так как обеспечивают злоумышленникам дополнительный уровень обфускации и используют промежуточные звенья — уязвимые сетевые серверы и устройства, коих много в Интернете. Заменяя адрес источника запроса адресом мишени, атакующие используют этих невольных помощников, чтобы направить мощный поток ответных пакетов в нужную сторону.

Больше половины DDoS, отраженных Prolexic в целом за квартал, по мощности превышали 5 Гб/с, около 17% — 60 Гб. Большая мощность свидетельствует о хорошей организации и солидном бюджете: по всей видимости, атакующие располагают значительными ресурсами. При замерах pps около 28% атак показали свыше 40 млн пакетов в секунду, порядка 26% — менее 1 млн (как правило, это атаки прикладного уровня). Основное внимание атакующие уделяли финансовым институтам, хотя в число мишеней попали также крупные ритейлеры, медицинские учреждения, hi-tech-компании, СМИ, турагентства и телеоператоры. Наиболее «урожайным» месяцем оказался апрель, на долю которого пришлось 39,7% атак, отбитых Prolexic в течение квартала. Особо горячей стала вторая декада апреля, когда злоумышленники сосредоточились на финансовом секторе и усердно использовали скриптовый инструмент itsoknoproblembro.

Главным источником DDoS‑трафика, по данным Prolexic, по-прежнему является Китай (39,1%). Второе место в непочетном рейтинге заняла Мексика (27,3%), новичок в ведущей десятке. Далее в убывающем порядке следуют Россия (7,6%), Франция (6,5%) и США (4,1%).

В заключение квартального отчета эксперты особо рассмотрели самую мощную DDoS‑атаку, которую им когда-либо довелось отражать. Эта DDoS была проведена в конце мая против одного из финансовых сервисов, опекаемых Prolexic. Злоумышленники использовали технику отражения DNS-запросов (DNS reflection), мощность атаки на пике составила 167 Гб/с. По данным Prolexic, 92% источников этого DDoS‑трафика составляли плохо сконфигурированные DNS-серверы (открытые резолверы), общим числом около 460.  Этот выдающийся инцидент был нейтрализован за 5 минут без поражения в работе атакованного веб-сервиса, однако в атаку оказались невольно вовлеченными еще 784 жертвы — в основном хосты на территории США и Китая.

Как видим, в минувшем квартале атак мощностью 200 Гб/с зарегистрировано не было, хотя 167 Гб — цифра внушительная. Мощнейшая атака была проведена по методу DNS reflection, и эксперты не считают это простым совпадением. Злоумышленники стремятся получить максимальную отдачу от своих усилий, и в ближайшие месяцы, по прогнозу Prolexic, техники усиления DDoS-трафика сохранят свою актуальность. Подписывать свои DNS-запросы публичными сертификатами атакующие пока не научились, однако эксперты отмечают, что по мере дальнейшего внедрения DNSSEC протокол UDP в его нынешней реализации постепенно выйдет из употребления. Тем не менее атаки с плечом не сойдут со сцены, пока в Сети существуют устаревшие и уязвимые протоколы, такие, например, как SNMP, NTP и CHARGEN.

Категории: DoS-атаки, Аналитика