Компания Qrator Labs представила статистику DDoS-атак и BGP-инцидентов в третьем квартале 2022 года. В отчетном периоде была зарегистрирована рекордная по размеру своей полосы атака, организованная на одного из клиентов Qrator Labs. Ее мощность составила 903,67 Гбит/с. Максимальная из зарегистрированных атак за третий квартал длилась более 1 дня 20 часов, что демонстрирует, как долго целеустремленный атакующий может непрерывно удерживать атаку на ресурс жертвы. В третьем квартале 2022 года численность наиболее значительного источника атак составила чуть более 115 тыс. устройств — заметное увеличение, по сравнению с 84 тыс. устройств во втором квартале. В целом, несмотря на текущий небольшой спад DDoS-атак в 3 квартале 2022 года, их интенсивность все равно превышает показатели 2021 года в десятки раз.
Возрождение забытых технологий
По продолжительности атак различных типов наблюдается четкое превалирование длительности UDP-flood над другими техниками. Организация атак типа SYN-flood, TCP-flood требует достаточно серьезной рекогносцировки – необходимо подготовить сетевой драйвер, накопить мощностей, найти хостинг, который будет разрешать атаки с поддельным адресом источника. Все это сложно, не доступно и достаточно дорого для новичков, поэтому продолжительность SYN-flood и атак, относящихся к TCP, является очень невысокой – порядка нескольких десятков минут, в некоторых случаях — нескольких часов. Однако атака, показавшая себя успешной, будет неизбежно повторена злоумышленником, пока тот не добьётся своей цели (например, выкупа от жертвы за прекращение атак).
Среди атак UDP-flood преобладают разные атаки типа Amplification, то есть атаки, связанные с эксплуатацией старых уязвимых серверов. Затрат злоумышленника на организацию атаки схожей по объему с SYN-flood требуется меньше, вероятность того, что его обнаружат – ниже, и высокой технической подготовки также не требуется. Кроме того, Amplification серверы сами по себе могут заметно увеличивать трафик, что позволяет атакующему разгонять атаки от нескольких десятков до нескольких сотен Гбит/с, что для атак типа SYN-flood сделать было бы крайне затруднительно. Эксперты QRator отмечают, что доля атак, основанных на протоколе TCP, то есть SYN flood, TCP flood, достигла почти трети от общего числа атак за период. Ранее такого роста не наблюдалось. Сейчас же достаточно простые и известные всем атаки типа Amplification уже стали настолько обыденными в интернете, что многие компании научились от них защищаться, и профессиональные злоумышленники, чтобы удержать свой «бизнес» на плаву, вынуждены переходить к более серьёзным и дорогостоящим типам атак, которым намного сложнее противостоять.
«Как правило, атаки, совершаемые на клиентов Qrator Labs, организуются либо новичками в индустрии, которые не очень в курсе, как устроены защитные сервисы, либо являются «пробой пера» уже опытных атакующих, – пояснил ситуацию основатель Qrator Labs Александр Лямин. – С этим связано то, что средняя и минимальная продолжительность атаки стремятся к значениям всего нескольких минут: пробные атаки, которые не достигают своей цели спустя несколько минут, злоумышленники сразу отключают. В то же время, для понимания рисков, которые может нести незащищенный бизнес в случае продолжительной DDoS-атаки, стоит смотреть на противоположную границу «шкалы» – на максимальную продолжительность атаки, которая составляет более суток».
Фейковые посетители
В области атак прикладного уровня обращает на себя внимание доля атак с поддельных браузеров – более 10%. Еще несколько лет назад такие атаки были редкостью, однако к 2022 году с активным распространением наборов инструментов для автоматизированного браузерного тестирования упростилась и задача злоумышленников по организации DDoS-атак и прочему сканированию веб-сайтов на уязвимости с целью последующей эксплуатации. Особенность таких атак в том, что по простым косвенным критериям отличить ботов от обычных людей нельзя – они проходят все косвенные проверки, и отсев таких запросов и трафика может идти только по поведенческим критериям, то есть анализу переходов между страницами, шаблонов поведения, адресам наиболее часто запрашиваемых ресурсов.
