Всё плохо
Никогда такого не было — и вот опять!
Компания Arbor Networks опубликовала отчет о DDoS-атаках по итогам первого квартала, отметив, что в этот период по ее клиентской базе был зафиксирован новый рекорд по мощности – 334 Гб/с. Эта атака была проведена против одного из индийских сетевых операторов, ее продолжительность составила 6 минут.

В целом за квартал Arbor насчитала 940 тыс. DDoS-инцидентов в сетях пользователей информационно-аналитической платформы ATLAS, которая в настоящее время мониторит до 120 ТБ трафика, обслуживая 330+ интернет-провайдеров. При этом 17,7% атак по мощности превышали 1 ГБ, а 25 показали на пике более 100 ГБ. Потолок другого важного показателя мощности DDoS, pps (число пакетов в секунду), за квартал снизился почти в два раза, с 112,5 до 65,15 Mpps.

«Атаки, значительно превышающие 200 Гб/с, очень опасны для операторов сетей и могут также причинить ущерб сервис-провайдеру, веб-серверам и корпоративным сетям, – отметил Дарен Энсти (Darren Anstee), архитектор защитных решений Arbor. – DDoS-атаки продолжают эволюционировать. За последние полтора года не только повысились их мощность и частота, но возросло также число атак на веб-приложения. Чтобы успешно противостоять современной DDoS-угрозе во всех ее аспектах, мы настоятельно рекомендуем использовать многоуровневую систему обороны, которая сочетает защиту от атак прикладного уровня на местах и облачные решения, способные отражать более мощные атаки».

Большинство атак, зафиксированных Arbor в отчетный период, использовали технику отражения и усиления мусорного трафика. В качестве посредников в таких DDoS злоумышленники обычно задействовали устройства, работающие по протоколу NTP, SSDP или DNS. Техника атаки с плечом (DrDoS) до сих пор актуальна, сетуют эксперты, потому что многие сервис-провайдеры так и не удосужились установить на границах своих сетей фильтры, которые бы блокировали пакеты с поддельным IP-адресом источника. В то же время в сетях все еще много плохо сконфигурированных и незащищенных устройств, использующих UDP и способных возвращать объемный ответ на короткий запрос.

Количество SSDP-атак, согласно Arbor, за квартал увеличилось с 83 тыс. до 126 тыс., их максимальная мощность тоже возросла – до рекордной отметки 137,88 ГБ. Из всех DrDoS 43,3% проводились на порту 80 (HTTP); эксперты отметили, что в целом этот порт все чаще фигурирует в атаках, в течение квартала его использовали инициаторы 25,8% DDoS.

Средняя продолжительность DDoS-инцидентов несколько увеличилась против четвертого квартала 2014 г. и составила 1 час 14 минут, однако в 90% случаев ресурс подвергался атаке менее часа. Злоумышленники зачастую выбирали мишень с американской, китайской или французской пропиской (16,2; 16 и 7,5% атак соответственно). Источники мусорного трафика в 40% случаев определить не удалось, анализ остальных DDoS показал, что злоумышленники предпочитали проводить атаки с территории США (11,3% инцидентов), Южной Кореи (8,5%) и Китая (5,3%).