ЭВОЛЮЦИЯ DDОS АТАК

В 2010 году превалировали атаки с использованием классических ботнетов – это были ботнеты-миллионники, как с HTTP-запросами, так и разного рода Flood-атаки. Осенью 2010 года был зафиксирован достаточно яркий, но короткий эпизод, когда впервые появились атаки типа DNS Amplification. Это атаки, когда злоумышленник посылает запрос (обычно короткий в несколько байт) уязвимым DNS-серверам, которые отвечают на запрос уже в разы большими по размеру пакетами. Если при отправке запросов использовать в качестве исходного IP-адреса адрес компьютера жертвы (IP-Spoofing), то уязвимые DNS-серверы будут посылать ненужные пакеты этому компьютеру, пока полностью не парализуют его работу. В то время впервые были зафиксированы атаки с пиковой скоростью 100 Гб/сек.

В 2011 году был обнаружен первый боднет с применением технологии Full-browserstack, когда ботнет совершает все операции посредством «честного» браузера. Такие ботнеты обнаружить и блокировать существенно сложнее, поскольку это даже не мимикрия под браузер, а полноценный браузер. В таком случае работают сугубо аналитические методы и поведенческий анализ.

В 2012 году ботнеты становились все более хитроумными и сложными, но в 2013 их развитие прервалось, поскольку к нам вернулись атаки DNS Amplification. Эти атаки впервые перешагнули порог скорости в 120 Гб/сек, что стало доставлять серьезные проблемы операторам связи. Соответственно, весь 2013 год прошел «под флагом» DNS Amplification, а с 2014 атакующие переключились на технологию NTP Amplification. Такие атаки по принципу организации похожи на DNS Amplification, но вместо DNS-серверов злоумышленники используют серверы синхронизации времени NTP. В этом году произошло большое количество инцидентов с использованием NTP Amplification, однако постепенно операторы научились решать эту проблему, устранять уязвимости, и количество амплификаторов в сети снизилось практически в два раза за квартал. С августа этого года вместо NTP атакующие начали использовать протокол SSDP, что и стало основным трендом в последние месяцы.

В первой половине 2014 года было нейтрализовано 2 715 DDoS-атак. В аналогичном периоде 2013 года эта цифра составила 4 375. Максимальное число атак в день сократилось со 151 в первом полугодии 2013 до 38 в 2014 году. Также уменьшилось и среднее количество DDoS-атак в день ­ — c 23,9 до 14,8 соответственно. Значительное сокращение числа DDoS-атак обусловлено тем фактом, что сегодня все больше компаний начинают использовать превентивные меры для противодействия DDoS.

Максимальный размер ботнета, задействованного в одной атаке, вырос со 136 644 до 420 489 машин. Увеличилась также доля Spoofing-атак – с 57,12% до 57,35%. С начала 2014 года наметился тренд к «укрупнению» атак – то есть их стало меньше, но скорости существенно выросли. Так, доля атак со скоростью более 1 Гб/с возросла с 1,65% в первом полугодии 2013 до 7,29% в аналогичном периоде 2014. Пиковые значения атак в 2014 году составляли 120-160 Гб/с.

Максимальная длительность атаки увеличилась с 21 дня в первой половине 2013 года до 90 дней в 2014. Один из ярких примеров зафиксированной крупной атаки — это обнаружение крупной бот-сети, объединяющей более 700 тысяч компьютеров, которая проявила активность с октября по декабрь 2013 года. У этого ботнета была крайне необычная география –  Южная Америка и Юго-Восточная Азия. В странах этих регионов плохой доступ в интернет, и высокоскоростную атаку организовать сложно.

Однако злоумышленники решили воспользоваться этой «слабостью», превратив ее в свое преимущество. Они сделали атаку очень медленной – несколько запросов в минуты, но за счет размеров ботнета и правильно выбранной цели – банки среднего размера – хакеры добились отличных результатов. Эта активность совпала с действиями ЦБ РФ по отзыву лицензий у ряда банков. В тот период обострилась конкурентная борьба, и хакеры явно неплохо на этом заработали.

Количество страниц  обзора — 27

Дата подготовки обзора рынка — Сентябрь 2015

Цена  — 1 500 грн.