«Ростелеком» провел исследование DDoS-атак, осуществлявшихся на российский сегмент интернета в 2018 году. Как свидетельствует отчет, в 2018 году произошел резкий рост не только количества DDoS-атак, но и их мощности. В фокусе внимания злоумышленников чаще всего оказывались игровые серверы.
Общее число DDoS атак в 2018 году увеличилось на 95% по сравнению с предыдущим годом. Наибольшее количество атак зафиксировано в ноябре и декабре. Многие компании сферы электронной коммерции получают существенную часть прибыли именно в конце года, т.е. в новогодние праздники и предшествующие им недели. Конкуренция в этот период особенно обостряется. Кроме того, на праздники приходится пик активности пользователей в онлайн-играх.
Самая продолжительная атака, зафиксированная «Ростелекомом» в 2017 году, пришлась на август и длилась 263 часа (почти 11 суток). В 2018 году рекордных показателей достигла атака, зафиксированная в марте и продлившаяся 280 часов (11 суток и 16 часов).
В ушедшем году произошел резкий скачок мощности DDoS-атак. Если в 2017 году этот показатель не превышал 54 Гбит/с, то в 2018 самая серьезная атака велась уже со скоростью 450 Гбит/с. Это не было единичной флуктуацией: лишь дважды за год этот показатель опускался существенно ниже 50 Гбит/с – в июне и августе.
Кого атакуют чаще всего
Статистика 2018 года подтверждает, что угроза DDoS наиболее актуальна для отраслей, чьи критически важные бизнес-процессы зависят от доступности онлайн-сервисов и приложений – в первую очередь, это игровой сегмент и электронная коммерция.
Доля атак на игровые серверы составила 64%. По прогнозам аналитиков, в ближайшие годы картина не изменится, а с развитием киберспорта можно ожидать дальнейшего увеличения числа атак на отрасль. Предприятия электронной коммерции стабильно «удерживают» второе место (16%). В сравнении с 2017 годом доля DDoS-атак на телеком выросла с 5% до 10%, а доля образовательных учреждений, напротив, сократилась – с 10% до 1%.
Довольно предсказуемо, что и по критерию среднего числа атак на одного клиента игровой сегмент и электронная коммерция занимают существенные доли – 45% и 19% соответственно. Более неожиданным кажется значительный рост атак на банки и платежные системы. Однако это объясняется скорее очень спокойным 2017 годом после кампании против российского банковского сектора в конце 2016. В 2018 году все вернулось на свои места.
Методы атак
Наиболее популярным методом DDoS является UDP-флуд – почти 38% всех атак осуществляется именно этим способом. За ним следует SYN-флуд (20,2%) и почти в равных долях атака фрагментированными пакетами и DNS-амплификация – 10,5% и 10,1% соответственно.
При этом сравнение статистики за 2017 и 2018 гг. показывает, что доля атак типа SYN-флуд выросла почти в два раза. Мы предполагаем, что это связано с их относительной простотой и дешевизной – такие атаки не требуют обязательного наличия ботнета (то есть затрат на его создание/аренду/покупку).
Выросло число атак с использованием амплификаторов. При организации DDoS с амплификацией злоумышленники отправляют запросы с поддельным адресом источника к серверам, которые отвечают жертве атаки многократно увеличенными пакетами. Такой способ DDoS-атак может выйти на новый виток и стать очень распространенным уже в ближайшее время, поскольку он также не требует затрат на организацию или покупку ботнета. С другой стороны, с развитием интернета вещей и ростом числа известных уязвимостей IoT-устройств можно ожидать появления и новых мощных ботнетов, а следовательно, и удешевления сервисов по организации DDoS-атак.
Автор: SolarSecurity