Rostelecom genomförde en studie av DDoS-attacker som utfördes på det ryska segmentet av Internet 2018. Som rapporten visar var det under 2018 en kraftig ökning inte bara i antalet DDoS-attacker, utan också i deras kraft. Angriparnas uppmärksamhet vände sig oftast till spelservrar.
Det totala antalet DDoS-attacker under 2018 ökade med 95 % jämfört med föregående år. Det största antalet attacker registrerades i november och december. Många e-handelsföretag får en betydande del av sin vinst i slutet av året, d.v.s. på nyårshelgerna och veckorna före dem. Konkurrensen är särskilt hård under denna period. Dessutom är det under semestern en topp i användaraktivitet i onlinespel.
Den längsta attacken som registrerades av Rostelecom 2017 inträffade i augusti och varade i 263 timmar (nästan 11 dagar). 2018 nådde attacken som registrerades i mars och varade i 280 timmar (11 dagar och 16 timmar) rekordnivåer.
Det senaste året har sett en kraftig ökning av kraften i DDoS-attacker. Om 2017 denna siffra inte översteg 54 Gbit/s, utfördes 2018 den allvarligaste attacken med en hastighet av 450 Gbit/s. Detta var inte en isolerad fluktuation: endast två gånger under året sjönk denna siffra betydligt under 50 Gbit/s - i juni och augusti.
Vem attackeras oftast?
Statistik från 2018 bekräftar att DDoS-hotet är mest relevant för branscher vars kritiska affärsprocesser är beroende av tillgången på onlinetjänster och applikationer – i första hand spelsegmentet och e-handel.
Andelen attacker mot spelservrar var 64 %. Enligt analytiker kommer bilden inte att förändras under de kommande åren och med utvecklingen av e-sport kan vi förvänta oss en ytterligare ökning av antalet attacker mot branschen. E-handelsföretag "håller" genomgående andraplatsen (16 %). Jämfört med 2017 ökade andelen DDoS-attacker på telekom från 5 % till 10 %, medan andelen utbildningsinstitutioner tvärtom minskade – från 10 % till 1 %.
Det är ganska förutsägbart att när det gäller det genomsnittliga antalet attacker per kund så upptar spelsegmentet och e-handeln betydande andelar – 45 % respektive 19 %. Mer oväntat är den betydande ökningen av attacker mot banker och betalningssystem. Detta beror dock mer sannolikt på ett mycket lugnt 2017 efter kampanjen mot den ryska banksektorn i slutet av 2016. 2018 återgick allt till det normala.
Attackmetoder
Den mest populära DDoS-metoden är UDP-översvämning - nästan 38% av alla attacker utförs med denna metod. Detta följs av SYN flood (20,2%) och nästan lika uppdelad av fragmenterade paketattacker och DNS-förstärkning – 10,5% respektive 10,1%.
Samtidigt en jämförelse av statistik för 2017 och 2018. visar att andelen SYN översvämningsattacker nästan har fördubblats. Vi antar att detta beror på deras relativa enkelhet och låga kostnad - sådana attacker kräver inte närvaron av ett botnät (det vill säga kostnaderna för att skapa/hyra/köpa det).
Antalet attacker med förstärkare har ökat. När man organiserar DDoS med förstärkning, skickar angripare förfrågningar med en falsk källadress till servrar, som svarar på offret för attacken med flera förstorade paket. Denna metod för DDoS-attacker kan nå en ny nivå och bli mycket utbredd inom en snar framtid, eftersom den inte heller kräver kostnaden för att organisera eller köpa ett botnät. Å andra sidan, med utvecklingen av Internet of Things och det växande antalet kända sårbarheter i IoT-enheter, kan vi förvänta oss uppkomsten av nya kraftfulla botnät, och följaktligen en minskning av kostnaderna för tjänster för att organisera DDoS-attacker.
Källa: will.com