Компания Akamai Technologies опубликовала очередной квартальный отчет по DDoS-атакам, подготовленный ее спецподразделением PLXsert (Prolexic SERT). Согласно представленной в нем статистике, DDoS большой мощности по-прежнему остаются актуальной угрозой, однако в июле – сентябре злоумышленники отдавали предпочтение затяжным flood сетевого уровня и проводили их с ботнетов, построенных на уязвимых Linux-серверах или на смартфонах, встроенном клиентском оборудовании, кабельных модемах и подключенных к Сети смарт-устройствах (IoT).

«В текущем году наблюдается беспрецедентный рост количества мощных DDoS-атак, — комментирует Джон Саммерс (John Summers), вице-президент Akamai по вопросам обеспечения кибербезопасности. — Только в третьем квартале Akamai отразила 17 атак мощностью свыше 100 Гб/с; самая внушительная из них на пике показала 321 Гб. Примечательно, что в предыдущем квартале мы зафиксировали лишь 6 аналогичных инцидентов, а год назад DDoS такого уровня вообще не наблюдались. Все эти мегаатаки используют разные векторы для доставки больших, забивающих каналы пакетов с очень высокой скоростью».

По данным Prolexic, усредненные пиковые показатели мощности DDoS за минувший квартал ощутимо возросли — до 13,93 Гб/с и 13,29 Mpps (млн пакетов в секунду). Предельные значения, зафиксированные экспертами, при этом составили 321 Гб/с и 169 Mpps. Все атаки мощностью свыше 100 Гб проводились с ботнетов и были многовекторными, с обязательным использованием SYN flood, в половине случаев — UDP flood.

Prolexic также отметила, что среди них не было ни одной атаки с плечом, хотя эти DDoS, проводимые по методу отражения и усиления трафика, все еще сохраняют актуальность и исправно вносят свой вклад в возрастание среднестатистических показателей. Новым типом атак с плечом, получившим распространение в третьем квартале, являются SSDP-атаки, использующие в качестве посредников UPnP-устройства. По данным борцов с DDoS, таких устройств, открытых абьюзам, в Сети более 4 млн.

Согласно статистике Prolexic, наибольшей популярностью у дидосеров в минувшем квартале пользовались такие техники, как SYN flood (23% инцидентов) и UDP flood (29%, включая атаки с фрагментацией пакетов). На долю NTP пришлось лишь 5% DDoS, на CHAGREN — 4%. Атаки уровня приложений в текущем году менее распространены, в июле – сентябре на их долю пришлось лишь 11% DDoS-инцидентов, и проводились они в основном как GET flood (9% общего количества). Эксперты отмечают, что этот тип атак ныне часто включается в новые специализированные тулкиты, такие как Spike.

Более половины DDoS, зафиксированных Prolexic в отчетный период, были многовекторными, росту их количества способствует наличие на черном рынке готовых комплектов для проведения атак и специализированных веб-сервисов.

Квартальные и годовые изменения на DDoS-арене Prolexic подытожила следующим образом:

в сравнении со вторым кварталом 2014 года

  • общее количество атак увеличилось на 2%;
  • средняя мощность в Гб/с возросла на 80%, в pps — на 10%;
  • количество атак сетевого уровня увеличилось на 2%, уровня приложений — на 2%;
  • число многовекторных инцидентов возросло на 11%;
  • средняя продолжительность атак увеличилась на 29%, с 17 до 22 часов;

в сравнении с третьим кварталом 2013 года

  • общее количество DDoS-инцидентов увеличилось на 22%;
  • средняя мощность в Гб/с возросла на 389%, в pps — на 366%;
  • число атак сетевого уровня возросло на 43%, уровня приложений — снизилось на 44%;
  • количество многовекторных атак увеличилось на 9%;
  • средняя продолжительность возросла на 5%.

Наиболее часто, согласно оценке Prolexic, злоумышленники атаковали представителей индустрии развлечений (34% инцидентов), СМИ (24%), производителей софта и высоких технологий (совокупно 20%). На долю финансовых сервисов пришлось 9% DDoS-атак, столько же — на сферу интернет- и телеком-услуг.

Основным источником DDoS-трафика по-прежнему являются США, доля которых увеличилась и ныне составляет 24%. На вторую строчку в этом непочетном рейтинге поднялся Китай (20% атак), сместив Японию, которая в минувшем квартале оказалась на седьмом месте. За Китаем следуют ухудшившие свои показатели Бразилия (около 18%) и Мексика (14%).

Одновременно с выпуском квартального отчета по DDoS-атакам Akamai объявила запуск нового портала, stateoftheinternet.com. Здесь будут публиковаться информация о трендах в области кибербезопасности, отчеты о текущих угрозах и соответствующая статистика, а также данные о проникновении широкополосного Интернета, скорости подключений, использовании мобильной связи. Akamai обещает, что посетители сайта смогут ознакомиться не только с ее текущими, но и со всеми предыдущими, заархивированными отчетами о состоянии Интернета.

Категории: DoS-атаки, Аналитика