26 Февраля 2025 10:00 | 26 Фев 2025 10:00 | |

Поделиться

Как телеком-отрасли защититься от DDoS-угроз

Телеком — главная цель злоумышленников

В последние годы DDoS-атаки — проблема бизнеса во всём мире. От них страдают банки и финансовые организации, правительственные структуры, промышленные компании, СМИ… Но одними из самых атакуемых объектов в мире являются телекоммуникационные компании, потому что подобные атаки несут угрозы для критически важной инфраструктуры и потенциально могут дополнительно создать очень большие проблемы для многих сервисов и частных лиц. Именно из-за этого телеком стал излюбленным объектом кибератак злоумышленников.

Например, в начале января, как сообщал FastNetMon, 12-часовой DDoS-атаке подвергся крупнейший оператор мобильной связи в Японии, компания NTT Docomo. В результате пострадали японский поисковик Goo, стриминговый VOD-сервис Lemino, платёжная платформа dPay, даже гольф-сервис Golf me и другие. Эта атака затронула почти 90 млн юзеров, отмечает издание.

Глобальный поставщик ИТ-решений в сфере информационной безопасности, американская компания Cloudflare в своём обзоре DDoS-угроз за III квартал 2024 года указывала, что по частоте атак телекоммуникационный сектор занимает третье место среди всех отраслей. Также международная Zayo Group, предоставляющая сервисы коммуникационной инфраструктуры, на основе своей статистики вообще ставит телеком на первое место среди объектов DDoS-атак. По данным этой компании, в первом полугодии 2024-го на компании телекоммуникационной индустрии пришлось 57% всех подобных кибератак. Для сравнения, в июле–декабре 2023 года, согласно статистике собранной Zayo Group, доля этого сектора в качестве цели DDoS-атак составляла менее половины — лишь 42%.

Тренд на увеличение угроз для телекоммуникационного сектора подтверждает и расположенный во Франции Центр кибербезопасности транснациональной корпорации Nokia. По его данным, DDoS-трафик с июня 2023 года по июнь 2024 года вырос на 166%, таким образом, опередив любой другой интернет-трафик. «Во многих сетях частота подобных событий выросла с 1-2 в день до более чем 100 в день», — говорится в Threat Intelligence Report Nokia.

При этом наиболее распространённой формой DDoS-атак является так называемая «ковровая», когда «бомбардируется» множество IP-адресов одновременно. Например, в первом полугодии, согласно статистике Vercara, «ковры» составляли 75% от общего числа DDoS-атак. Как указывает Nokia, увеличиваются площади подобных «бомбардировок»: в 2024 году целями 13% от подобных атак стали более 256 IP-адресов, 2,8% — более 1024 IP-адресов, а самая крупная зафиксированная Центром кибербезопасности компании атака затронула более 16 000 IP-адресов.

По данным специализированной лаборатории Servicepipe, занимающейся изучением DDoS-атак, в 2024 году на телеком пришлась треть всех DDoS-атак, обрушившихся на российский бизнес. Преобладали атаки политически мотивированных злоумышленников. При этом количество именно ковровых атак против отрасли росло весь 2024 год, и в 2025 году этот тренд сохранился.

«В январе 2025 года, по данным специализированной лаборатории Servicepipe, занимающейся анализом DDoS-атак, количество «ковров» в отношении телекома выросло на 60% в сравнении с январём 2024 года, — рассказывает директор по продуктам Servicepipe Михаил Хлебунов, — По сути, каждый второй день января фиксировалась хотя бы одна атака политически мотивированных злоумышленников на отрасль». При этом, продолжил эксперт, в январе 2025 года при атаке на одного из игроков телекома площадь «ковра» составляла 3300 IP-адресов.

Forbes писал, что во второй половине января 2025 года ковровая DDoS-атака хактивистов на одного из крупнейших мобильных операторов привела к сбою в его работе. Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора также фиксировал сбой на зарубежных стыках компании и с европейскими сетями. Frank Media писал, что из-за этого сбоя, в частности, пострадали некоторые клиенты многих крупных кредитных организаций, которые не могли зайти в приложения и на сайты своих банков.

При этом, как рассказывал в октябре прошлого года руководитель ИТ-отдела санкт-петербургского оператора связи «П.А.К.Т» Павел Кузин, организаторы DDoS-атак всё больше стали выбирать себе целью не крупных федеральных операторов связи, а более мелких, писало издание «Телеспутник». А уже в январе Мининформации Крыма сообщило о массированной кибератаке на операторов связи полуострова, а также о том, что из-за этого для пользователей могут быть недоступны «некоторые сервисы».

Особенности «ковра» в телекоме

Ковровые DDoS-атаки априори наиболее опасны для тех игроков, у которых большое количество IP-адресов, поясняет технический эксперт ИТ-интегратора «Телеком биржа» Евгений Пудовкин. И телеком-операторы в данном случае идеальная жертва. Например, та же таргетированная атака обычно направлена на IP-адреса конкретных сервисов, рассказывает Евгений, поэтому её вполне реально обнаружить по статистическим аномалиям, когда трафик на определённые сервисы, к примеру, увеличился с 10 Мбит/с до 300 Мбит/с. При обнаружении атакуемого сервиса трафик можно сразу же отправить на очистку. При ковровой атаке на каждый IP-адрес подсети цели поступает небольшое количество вредоносного трафика, при этом либо все IP-адреса, либо просто их большое количество, атакуются одновременно. Если взять, к примеру, одну из январских атак на телеком с площадью «ковра» 3300 IP-адресов, то даже нагрузка в 1 Мбит/с на каждый IP уже может быть ощутимой. «При этом традиционные системы мониторинга часто анализируют только нагрузку на отдельные IP, а не на всю сеть в целом, — отмечает отмечает технический эксперт «Телеком биржи». — Атака может оставаться незамеченной, пока её влияние не начнёт вызывать деградацию сервисов. Кроме того, хакеры часто комбинируют ковровые атаки с другими типами многовекторных атак, включая SYN-флуд, UDP-флуд и флуд HTTP-запросами, что усложняет их фильтрацию и требует использования адаптивных систем защиты».

«1 Мбит/с — это обычный объём мусорного трафика, которого много в интернете и который периодически «прилетает» самым разным игрокам, — соглашается Михаил Хлебунов. — В то же время когда при атаке «ковёр» идёт на тысячи сервисов одновременно, его совокупный объём может превысить ёмкость канала или сетевого оборудования. Это, в итоге, и является главной целью хактивистов — недоступность сервисов», — резюмировал он.

Недоступность сервисов телекома в случае результативной атаки может иметь даже бОльший общественный резонанс, чем при атаке на любого другого игрока. «И не только потому, что общество всегда ярко и очень быстро реагирует на недоступность связи и интернета, — указывает Пудовкин. — Деградация или недоступность сервисов оператора связи автоматически означает недоступность сервисов его клиентов — банков, компаний из электронной коммерции и т. д.». Кроме того, продолжил Михаил Хлебунов, если речь идет об атаке на крупного игрока, чьей сетью пользуются другие операторы, то одна успешная атака может привести к недоступности сервисов у очень многих игроков из телекома. При этом недоступность услуг крупного оператора сотовой связи автоматически означает проблемы у его абонентов. «Как, например, это было в январе 2025 года, когда клиенты банков массово жаловались на недоступность сервисов их кредитных организаций, хотя проблемы были исключительно на стороне оператора», — отметил Михаил Хлебунов.

Выявляя атакуемые IP

По словам технического эксперта ИТ-интегратора «Телеком биржа» Евгения Пудовкина, для эффективной защиты магистральные операторы внедряют многоуровневые подходы. Так, по словам эксперта, необходим мониторинг и анализ трафика — современные системы должны учитывать совокупный объём трафика по сети и уметь выявлять ковровые атаки. Кроме того, указывает эксперт, необходима быстрая маршрутизация атакуемого трафика на центры фильтрации, что помогает минимизировать влияние на сеть. И, само собой, необходима многовекторная защита. «В 2024 и 2025 году мы фиксировали «ковры» на отрасль, когда атака шла одновременно на сетевом, транспортном и на уровне приложений», — дополняет Михаил Хлебунов.

На российском рынке есть решения для быстрого выявления аномалий и определения злонамеренного трафика, а также для его последующей очистки, указывает Евгений Пудовкин. Например, у российской компании Servicepipe есть продукт интеллектуального анализа трафика FlowCollector, который, непрерывно отслеживает входящие и исходящие из сети пакеты, и выявляет атакуемые IP и направляет на очистку. Модуль Data Explorer в FlowCollector обеспечивает многоуровневую систему хранения метрик сетевого трафика. Этот модуль позволяет анализировать данные за любой период времени. Возможность ретроспективного анализа даёт более широкую картину происходящего в сети передачи данных компании, для выработки мер по повышению защищенности. Интерфейс управления системой FlowCollector позволяет гибко настраивать дашборды для того, чтобы отслеживать наиболее важные для администратора системы параметры трафика.

Используя FlowCollector совместно с адаптивной системы очистки трафика DosGate Servicepipe позволяет обнаружить и отфильтровать ковровые DDoS-атаки любой сложности, а значит, обеспечить непрерывную доступность сетевых сервисов, уверен Евгений Пудовкин.

DosGate — система защиты, поставляемая как ПО или ПАК. Комплекты преднастроенных правил обеспечивают эшелонированную защиту на L3–L7, гибкость фильтрации и готовность к новым угрозам. Высокая производительность каждой аппаратной платформы (до 400 Gbps и 400 Mpps) гарантирует стабильность работы при крупных DDoS-атаках.

DosGate построен на основе сетевых инструкций. При фильтрации ковровых атак эти инструкции дают возможность отталкиваться не от позитивной, а только от негативной модели. То есть, с помощью DosGate можно очень детально описать паттерны только вредоносного трафика для его блокировки или фильтрации. Кроме того, сетевые инструкции хранятся в гибких пакетах правил с уже готовыми паттернами самых распространённых ковровых атак, что упрощает настройку.

«Ковровые атаки прошлого года и января 2025-го, с которыми столкнулись клиенты Servicepipe, наглядно показали, что FlowCollector и DosGate не только детектируют этот вид атак, но и эффективно противостоят им», — отмечает Михаил Хлебунов.

Однако для тех, кто приходит под атакой и нуждается в оперативной защите, ключевую роль играет сервис «Защищенный IP-транзит». Так как наши партнёры имеют прямые стыки со всеми крупнейшими ЦОД — мы можем развернуть защиту в кратчайшие сроки. «Например, недавно мы подключили небольшой оператор связи менее чем за полчаса. После успешного отражения атаки мы перевели клиента на DosGate и FlowCollector, обеспечив ему постоянную on-premise защиту и возможность глубокого анализа трафика, — указал Михаил Хлебунов. — Хотя, справедливости ради, скорость подключения в каждом случае индивидуальная и зависит она, прежде всего, от готовности на стороне клиента оперативно согласовывать все вопросы».

Статистика лидеров рынка по защите от DDoS-атак и сообщения о результативных атаках на крупнейших игроков из телеком в СМИ — всё это говорит о том, что тренд на ковровые атаки против игроков отрасли сохранится, указывает Евгений Пудовкин. Это означает, что операторам связи и интернет-провайдерам необходимы гибкие решения, которые уже доказали свою эффективность по борьбе с этим типом атак. Какую форму поставки выбрать — ограничиться софтом или же всё же нужен ПАК — каждый выбирает для себя, резюмировал эксперт.

C 1 марта 2025 года стартует специальное предложение Servicepipe и ИТ-интегратора решений вендора «Телеком биржа» по предоставлению доступа к лицензии на использование ПО «FlowCollector» в бестарифный тестовый период сроком на 3 месяца. Оно будет актуально для заявок, поданных до 31 марта 2025 года включительно. После окончания трехмесячного использования продукта участники акции получат подробный анализ сетевого трафика, оценку DDoS-защиты в компании, показатели стабильности работы системы при пиковых нагрузках и время отклика при обработке запросов.

Поделиться

Короткая ссылка