По данным Kaspersky DDoS Protection, в ландшафте DDoS-атак происходят количественные и качественные изменения. Так, зимой 2023–2024 гг. решения «Лаборатории Касперского» зафиксировали в России почти в шесть раз больше таких атак. (Сравнивался декабрь 2022 г. – февраль 2023 г. с декабрём 2023 г. – февралём 2024 г.)
С точки зрения качества атаки стали менее мощными по пропускной способности и объёму трафика, но более массовыми, а их средняя длительность снизилась. Это произошло за счёт существенного увеличения с октября 2023 года числа атак типа TCP short packet, которые перегружают оборудование компании-жертвы небольшими пакетами данных, требующих от атакуемого ресурса сложной и объёмной обработки. Их цель – вывести из строя сетевое оборудование или TCP-стек атакованной организации.
Подбор параметров опытным путем
Используя особенности протокола, злоумышленники стараются подобрать определённые параметры отправляемых данных, чтобы вызвать лавинообразный рост потребления ресурсов в атакуемой системе. В результате это приводит к недоступности сервиса. Такие атаки сложнее отразить, чем более распространённые UDP: для злоумышленников они довольно дёшевы, а организациям трудно противодействовать им без специфических знаний и набора технологий.
Эксперты всё чаще видят изменения в тактиках злоумышленников. Ранее они часто могли атаковать один ресурс разными способами продолжительное время, что существенно снижало скорость его загрузки для пользователя, однако он по-прежнему мог оставаться доступным. Сейчас же атакующие стараются не тратить много времени на один ресурс, а перебирают сайты одной и той же компании: атакуют первый веб-адрес организации, затем, если в течение непродолжительного периода времени не достигают цели, переходят к следующему, пока не найдут тот, который смогут полностью вывести из строя.
«Компаниям нужно понимать, что даже если активность злоумышленников удалось отразить, это не значит, что они не повторят свою попытку. Поэтому решение для предотвращения DDoS должно защищать все корпоративные ресурсы, ведь в случае его отсутствия хотя бы на одном из них атакующие с высокой степенью вероятности рано или поздно достигнут цели», – поясняет Дмитрий Бунин, эксперт по кибербезопасности в «Лаборатории Касперского».
Рекомендации экспертов
«Лаборатория Касперского» напоминает о мерах, которые помогут компаниям успешно противодействовать DDoS-атакам и бороться с их последствиями:
- поддержку сайтов следует доверить специалистам, которые знают, что предпринять в случае такого инцидента;
- стоит внимательно проверять соглашения с поставщиками и контактную информацию, включая договоры с провайдерами интернет-услуг. Это поможет сотрудникам компании быстро получать нужную информацию в случае атаки;
- использовать специализированные корпоративные решения для защиты от DDoS. Например, решение Kaspersky DDos Protectionобеспечивает мониторинг трафика в режиме реального времени и эффективно отражает атаки любого масштаба. Зная обычные характеристики трафика, легче выявить нестандартную активность, характерную для DDoS.
