Спецпроекты

Безопасность Стратегия безопасности

Статистика DDoS-атак и BGP-инцидентов в III квартале 2022 года

Qrator Labs, специализирующаяся на обеспечении доступности интернет-ресурсов и нейтрализации DDoS-атак, представляет статистику DDoS-атак и BGP-инцидентов в III квартале 2022 г. Несмотря на текущий небольшой спад DDoS-атак в III квартале 2022 г., их интенсивность все равно превышает показатели 2021 г. в десятки раз. Об этом CNews сообщили представители Qrator Labs.

Максимальная из зарегистрированных атак за III квартале 2022 г. длилась более 1 дня 20 часов, что демонстрирует, как долго целеустремленный атакующий может непрерывно удерживать атаку на ресурс жертвы.

«Как правило, атаки, совершаемые на клиентов Qrator Labs, организуются либо новичками в индустрии, которые не очень в курсе, как устроены защитные сервисы, либо являются «пробой пера» уже опытных атакующих. С этим связано то, что средняя и минимальная продолжительность атаки стремятся к значениям всего нескольких минут: пробные атаки, которые не достигают своей цели спустя несколько минут, злоумышленники сразу отключают, – сказал Александр Лямин, основатель Qrator Labs. – В то же время, для понимания рисков, которые может нести незащищенный бизнес в случае продолжительной DDoS-атаки, стоит смотреть на противоположную границу «шкалы» – на максимальную продолжительность атаки, которая составляет более суток».

По продолжительности атак различных типов наблюдается четкое превалирование длительности UDP-flood над другими техниками.

Организация атак типа SYN-flood, TCP-flood требует достаточно серьезной подготовки – необходимо подготовить сетевой драйвер, накопить мощностей, найти хостинг, который будет разрешать атаки с поддельным адресом источника. Все это сложно, новичку не доступно и достаточно дорого, поэтому продолжительность SYN-flood и атак, относящихся к TCP, является очень невысокой – порядка нескольких десятков минут, в некоторых случаях — нескольких часов. Однако атака, показавшая себя успешной, будет неизбежно повторена злоумышленником, пока тот не добьется своей цели (например, выкупа от жертвы за прекращение атак).

Среди атак UDP-flood преобладают разные атаки типа Amplification, то есть атаки, связанные с эксплуатацией старых уязвимых серверов. Затрат злоумышленника на организацию атаки схожей по объему с SYN-flood требуется меньше, вероятность того, что его обнаружат – ниже, и высокой технической подготовки также не требуется. Кроме того, Amplification серверы сами по себе могут заметно увеличивать трафик, что позволяет атакующему разгонять атаки от нескольких десятков до нескольких сотен Гбит/сек, что для атак типа SYN-flood сделать было бы крайне затруднительно.

В связи с этим в отличие от SYN-flood, продолжительность которого сравнительно невысока, основанные на UDP атаки могут длиться несколько дней, даже если они не оказывают никакого видимого эффекта на защищаемый сервис. Если SYN-flood останавливают достаточно рано, чтобы не нести бесполезные затраты при неуспешности атак, то Amplification атаки и UDP-flood злоумышленник может держать произвольное время без каких-либо последствий, например, в ожидании, пока атакуемый ресурс не пойдет ему навстречу, выплатив какой-либо выкуп, или маскируя тем самым произошедший некоторое время назад взлом.

В III квартале 2022 г. была зарегистрирована рекордная по размеру своей полосы атака, организованная на одного из клиентов Qrator Labs. Ее скорость составила 903,67 Гбит/с.

В III квартале 2022 г. численность наиболее значительного источника атак составила чуть более 115 тыс. устройств — заметное увеличение по сравнению с 84 тыс. устройств во втором квартале. В I квартале 2022 г. мы столкнулись с источником атак численностью почти 1 млн устройств.

Доля атак, основанных на протоколе TCP, то есть SYN flood, TCP flood, достигла почти трети от общего числа атак за период, при том что это достаточно сложные в организации атаки, дорогостоящие, требующие специальной технической подготовки и потенциально ведущие к возможным проблемам у злоумышленника. Ранее такого роста не наблюдалось. Сейчас же достаточно простые и известные всем атаки типа Amplification уже стали настолько обыденными в интернете, что многие компании научились от них защищаться, и профессиональные злоумышленники, чтобы удержать свой «бизнес» на плаву, вынуждены переходить к более серьезным и дорогостоящим типам атак, которым намного сложнее противостоять.

В области атак прикладного уровня обращает на себя внимание доля атак с поддельных браузеров – более 10%. Еще несколько лет назад такие атаки были редкостью, однако к 2022 г. с активным распространением наборов инструментов для автоматизированного браузерного тестирования упростилась и задача злоумышленников по организации DDoS-атак и прочему сканированию веб-сайтов на уязвимости с целью последующей эксплуатации. Особенность таких атак в том, что по простым косвенным критериям отличить ботов от обычных людей нельзя – они проходят все косвенные проверки, и отсев таких запросов и трафика может идти только по поведенческим критериям, то есть переходы между страницами, паттерны поведения, наиболее часто запрашиваемые ресурсы.

***

Qrator Labs предоставляет услуги по сетевой безопасности с 2010 г., обеспечивая непрерывную доступность интернет-ресурсов и противодействие DDoS-атакам для клиентов по всему миру. Облачная инфраструктура компании базируется на 15 точках фильтрации трафика, подключенных к каналам крупнейших магистральных интернет-провайдеров в Северной и Южной Америке, Европе, странах Ближнего Востока и Азии.

Благодаря непрерывной R&D деятельности и совершенствованию алгоритмов фильтрации Qrator Labs обладает возможностями нейтрализации архитектурно сложных, нестандартных и масштабных атак и сетевых аномалий.

Короткая ссылка