По свидетельству PLXsert (Prolexic SERT), подразделения Akamai Technologies по защите от DDoS и облачному ИБ-сервису, в минувшем квартале злоумышленники по-прежнему отдавали предпочтение силовым, а не техничным атакам, массово эксплуатировали веб-бреши и искали уязвимые смарт-устройства, чтобы построить ботнеты, способные создать мощный DDoS-трафик, а также активно расширяли рынок DDoS-услуг. В квартальном отчете также отмечено, что в октябре – декабре эксперты зафиксировали вдвое больше DDoS-инцидентов, чем за такой же период в 2013 году, и на 90% больше, чем в предыдущем квартале.

Предельная мощность DDoS-атак, измеряемая в Гб/с, за год возросла на 52%. В отчетный период по клиентской базе Akamai было зарегистрировано девять инцидентов мощностью более 100 Гб, как обычных, так и многовекторных; во всех случаях, кроме одного, злоумышленники использовали протокол UDP. Широко применялась также техника отражения и усиления мусорного потока с помощью посредников, использующих такие интернет-протоколы, как NTP, CHARGEN и SSDP (атаки с плечом, DrDoS).

Самая мощная DDoS на пике показала 158 Гб/с, это была комбинация SYN flood, UDP flood и UDP flood с фрагментацией пакетов. Другой, не менее важный показатель мощности DDoS (число пакетов в секунду, pps) за год снизился на 77%, его максимальное значение в минувшем квартале составило 96 Mpps.

Многовекторными оказались 44% атак — значительно больше, чем год назад. Комбинацию разных типов, техник и уровней в рамках одной атаки, по словам экспертов, ныне предлагают многие специализированные теневые сервисы, в ассортименте которых также часто встречаются DrDoS. Согласно статистике PLXsert, на долю последних в четвертом квартале пришлось около 40% инцидентов.

В кратком виде динамика основных показателей по DDoS выглядит следующим образом:

в сравнении с четвертым кварталом 2013 года

  • общее количество атак увеличилось на 57%;
  • пиковая мощность (Гб/с) возросла на 52%;
  • ppi-показатель снизился на 77%;
  • число атак сетевого уровня возросло на 58%, прикладного — на 51% при соотношении 9:1;
  • средняя продолжительность DDoS увеличилась на 28%, до 29 часов;
  • число многовекторных атак возросло на 84%;
  • количество атак диапазона >100 Гб увеличилось на 200% (с 3 до 9);

в сравнении с третьим кварталом 2014 года

  • общее количество атак увеличилось на 90%;
  • пиковая мощность (Гб/с) снизилась на 54%;
  • ppi-показатель сократился на 83%;
  • число атак сетевого уровня возросло на 121%, прикладного — на 16%;
  • средняя продолжительность DDoS увеличилась на 31%;
  • число многовекторных атак возросло на 38%;
  • количество атак диапазона >100 Гб уменьшилось на 47% (9 против 17).

Наиболее распространенным типом атаки в минувшем квартале, как и в предыдущем, являлся SYN flood, на долю которого пришлось 17% всех DDoS-инцидентов. Резко, на 214%, расширилось применение SSDP flood, почти неведомых ранее. Самая мощная из этих DrDoS с участием сетевых UPnP-устройств на пике показала 106 Гб/с. UDP с фрагментацией были замечены в 14% атак, вклад UDP flood составил 11%, DNS — чуть меньше, NTP — 8%, CHARGEN — 5%.

Больше прочих от DDoS страдали игровые веб-сервисы (35% инцидентов), а также вендоры софта и высоких технологий (26%). Основные источники мусорного трафика остались прежними — США и Китай (32 и 18% соответственно), остальной состав этого непочетного списка заметно изменился. Страны БРИК улучшили свои показатели, уступив более высокие позиции европейцам. Третье место по исходящему DDoS-трафику заняла Германия (12%), за ней следует Мексика (менее 12%), сохранившая свое место, хотя и с более низким показателем, чем в третьем квартале. На пятой строчке оказалась Франция (около 8%). Замыкает ведущую десятку Россия (около 4%).

Категории: DoS-атаки, Аналитика