Rostelecom gjennomførte en studie av DDoS-angrep utført på den russiske delen av internett i 2018. Ifølge rapporten var det i 2018 en kraftig økning ikke bare i antall DDoS-angrep, men også i deres styrke. Spillservere var oftest fokus for angriperne.
Det totale antallet DDoS-angrep i 2018 økte med 95 % sammenlignet med året før. Det største antallet angrep ble registrert i november og desember. Mange e-handelsselskaper mottar en betydelig del av fortjenesten sin på slutten av året, dvs. i løpet av nyttårsferien og ukene før den. Konkurransen er spesielt intens i denne perioden. I tillegg er høytidene toppen av brukeraktiviteten i online spill.
Det lengste angrepet registrert av Rostelecom i 2017 skjedde i august og varte i 263 timer (nesten 11 dager). I 2018 nådde angrepet registrert i mars rekordnivåer og varte i 280 timer (11 dager og 16 timer).
Det siste året så vi en kraftig økning i kraften til DDoS-angrep. Hvis dette tallet ikke oversteg 2017 Gbit/s i 54, ble det mest alvorlige angrepet allerede utført i 2018 med en hastighet på 450 Gbit/s. Dette var ikke en enkelt svingning: bare to ganger i løpet av året falt dette tallet betydelig under 50 Gbit/s – i juni og august.
Hvem blir angrepet oftest?
Statistikk fra 2018 bekrefter at DDoS-trusselen er mest relevant for bransjer der kritiske forretningsprosesser er avhengige av tilgjengeligheten av nettjenester og applikasjoner – først og fremst spillsegmentet og e-handel.
Andel angrep på spill servere utgjorde 64 %. Analytikere spår at situasjonen vil forbli uendret i de kommende årene, og med utviklingen av e-sport kan man forvente en ytterligere økning i angrep på bransjen. E-handelsselskaper holder konsekvent andreplassen (16 %). Sammenlignet med 2017 økte andelen DDoS-angrep på telekom fra 5 % til 10 %, mens andelen av utdanningsinstitusjoner derimot gikk ned – fra 10 % til 1 %.
Det er ganske forutsigbart at spillsegmentet og e-handel, i henhold til kriteriet for gjennomsnittlig antall angrep per klient, har betydelige andeler – henholdsvis 45 % og 19 %. Mer uventet synes en betydelig økning i angrep på banker og betalingssystemer. Dette forklares imidlertid snarere av det svært rolige 2017 etter kampanjen mot den russiske banksektoren på slutten av 2016. I 2018 falt alt tilbake på plass.
Angrepsmetoder
Den mest populære DDoS-metoden er UDP-flodning – nesten 38 % av alle angrep utføres med denne metoden. Den etterfølges av SYN-flodning (20,2 %) og nesten like fragmenterte pakkeangrep og DNS-amplifisering – henholdsvis 10,5 % og 10,1 %.
Samtidig viser en sammenligning av statistikk for 2017 og 2018 at andelen SYN-flodangrep nesten har doblet seg. Vi antar at dette skyldes deres relative enkelhet og billighet – slike angrep krever ikke obligatorisk tilstedeværelse av et botnett (dvs. kostnadene ved opprettelse/leie/kjøp).
Antall angrep som bruker forsterkere har økt. Når man organiserer en DDoS med forsterkning, sender angripere forespørsler med en falsk kildeadresse til servere som svarer offeret for angrepet med multipliserte pakker. Denne metoden for DDoS-angrep kan nå et nytt nivå og bli svært vanlig i nær fremtid, siden den heller ikke krever kostnadene ved å organisere eller kjøpe et botnett. På den annen side, med utviklingen av tingenes internett og veksten i antall kjente sårbarheter i IoT-enheter, kan vi forvente fremveksten av nye kraftige botnett, og dermed billigere tjenester for å organisere DDoS-angrep.
Kilde: www.habr.com
