"Ростелеком" провів дослідження DDoS-атак, що здійснювалися на російський сегмент інтернету в 2018 році. Як свідчить звіт, у 2018 році відбулося різке зростання не лише кількості DDoS-атак, а й їхньої потужності. У фокусі уваги зловмисників найчастіше опинялися ігрові сервери.
Загальна кількість DDoS атак у 2018 році збільшилась на 95% порівняно з попереднім роком. Найбільша кількість атак зафіксована у листопаді та грудні. Багато підприємств сфери електронної комерції отримують істотну частину прибутку саме наприкінці року, тобто. у новорічні свята та попередні тижні. Конкуренція у період особливо загострюється. Крім того, на свята припадає пік активності користувачів в онлайн-іграх.
Найтриваліша атака, зафіксована «Ростелекомом» у 2017 році, припала на серпень і тривала 263 години (майже 11 діб). У 2018 році рекордних показників досягла атака, зафіксована в березні і тривала 280 годин (11 діб та 16 годин).
У минулому році відбувся різкий стрибок потужності DDoS-атак. Якщо у 2017 році цей показник не перевищував 54 Гбіт/с, то у 2018 найсерйозніша атака велася вже зі швидкістю 450 Гбіт/с. Це не було поодинокою флуктуацією: лише двічі на рік цей показник опускався значно нижче 50 Гбіт/с – у червні та серпні.
Кого атакують найчастіше
Статистика 2018 року підтверджує, що загроза DDoS є найбільш актуальною для галузей, чиї критично важливі бізнес-процеси залежать від доступності онлайн-сервісів та додатків – насамперед це ігровий сегмент та електронна комерція.
Частка атак на ігрові сервери становила 64%. За прогнозами аналітиків, найближчими роками картина не зміниться, а з розвитком кіберспорту очікується подальше збільшення числа атак на галузь. Підприємства електронної комерції стабільно "утримують" друге місце (16%). У порівнянні з 2017 роком частка DDoS-атак на телеком зросла з 5% до 10%, а частка освітніх установ, навпаки, скоротилася - з 10% до 1%.
Досить передбачувано, що і за критерієм середньої кількості атак на одного клієнта ігровий сегмент та електронна комерція займають суттєві частки – 45% та 19% відповідно. Більш несподіваним видається значне зростання атак на банки та платіжні системи. Однак це пояснюється радше дуже спокійним 2017 роком після кампанії проти російського банківського сектора наприкінці 2016 року. У 2018 році все повернулося на свої місця.
Методи атак
Найбільш популярним методом DDoS є UDP-флуд – майже 38% усіх атак здійснюється саме цим способом. За ним слідує SYN-флуд (20,2%) і майже в рівних частках атака фрагментованими пакетами та DNS-ампліфікація – 10,5% та 10,1% відповідно.
При цьому порівняння статистики за 2017 та 2018 роки. показує, частка атак типу SYN-флуд зросла майже вдвічі. Ми припускаємо, що це пов'язано з їхньою відносною простотою та дешевизною – такі атаки не вимагають обов'язкової наявності ботнету (тобто витрат на його створення/оренду/купівлю).
Зросла кількість атак із використанням ампліфікаторів. Під час організації DDoS з ампліфікацією зловмисники відправляють запити з підробленою адресою джерела до серверів, які відповідають жертві атаки багаторазово збільшеними пакетами. Такий спосіб DDoS-атак може вийти на новий виток і стати дуже поширеним вже найближчим часом, оскільки він також не потребує витрат на організацію або купівлю ботнету. З іншого боку, з розвитком інтернету речей і зростанням кількості відомих уразливостей IoT-пристроїв можна очікувати появи і нових потужних ботнетів, а отже, і здешевлення сервісів з організації DDoS-атак.
Джерело: habr.com