Несмотря на текущий небольшой спад DDoS-атак в 3 квартале 2022 года, их интенсивность все равно превышает показатели 2021 года в десятки раз.
Общая продолжительность атак
Максимальная из зарегистрированных атак за третий квартал длилась более 1 дня 20 часов, что демонстрирует, как долго целеустремленный атакующий может непрерывно удерживать атаку на ресурс жертвы.
«Как правило, атаки, совершаемые на клиентов Qrator Labs, организуются либо новичками в индустрии, которые не очень в курсе, как устроены защитные сервисы, либо являются «пробой пера» уже опытных атакующих. С этим связано то, что средняя и минимальная продолжительность атаки стремятся к значениям всего нескольких минут: пробные атаки, которые не достигают своей цели спустя несколько минут, злоумышленники сразу отключают, – комментирует Александр Лямин, основатель Qrator Labs. – В то же время, для понимания рисков, которые может нести незащищенный бизнес в случае продолжительной DDoS-атаки, стоит смотреть на противоположную границу «шкалы» – на максимальную продолжительность атаки, которая составляет более суток».
Продолжительность атак по векторам
По продолжительности атак различных типов наблюдается четкое превалирование длительности UDP-flood над другими техниками.
Организация атак типа SYN-flood, TCP-flood требует достаточно серьезной подготовки – необходимо подготовить сетевой драйвер, накопить мощностей, найти хостинг, который будет разрешать атаки с поддельным адресом источника. Все это сложно, новичку не доступно и достаточно дорого, поэтому продолжительность SYN-flood и атак, относящихся к TCP, является очень невысокой – порядка нескольких десятков минут, в некоторых случаях — нескольких часов. Однако атака, показавшая себя успешной, будет неизбежно повторена злоумышленником, пока тот не добьётся своей цели (например, выкупа от жертвы за прекращение атак).
Среди атак UDP-flood преобладают разные атаки типа Amplification, то есть атаки, связанные с эксплуатацией старых уязвимых серверов. Затрат злоумышленника на организацию атаки схожей по объему с SYN-flood требуется меньше, вероятность того, что его обнаружат – ниже, и высокой технической подготовки также не требуется. Кроме того, Amplification серверы сами по себе могут заметно увеличивать трафик, что позволяет атакующему разгонять атаки от нескольких десятков до нескольких сотен Гбит/сек, что для атак типа SYN-flood сделать было бы крайне затруднительно.
В связи с этим в отличие от SYN-flood, продолжительность которого сравнительно невысока, основанные на UDP атаки могут длиться несколько дней, даже если они не оказывают никакого видимого эффекта на защищаемый сервис. Если SYN-flood останавливают достаточно рано, чтобы не нести бесполезные затраты при неуспешности атак, то Amplification атаки и UDP-flood злоумышленник может держать произвольное время без каких-либо последствий, например, в ожидании, пока атакуемый ресурс не пойдет ему навстречу, выплатив какой-либо выкуп, или маскируя тем самым произошедший некоторое время назад взлом.
Самая массированная атака в третьем квартале 2022
В третьем квартале 2022 года была зарегистрирована рекордная по размеру своей полосы атака, организованная на одного из клиентов Qrator Labs. Ее скорость составила 903,67 Гбит/с.
Самый большой ботнет
В третьем квартале 2022 года численность наиболее значительного источника атак составила чуть более 115 000 устройств — заметное увеличение, по сравнению с 84 000 устройств во втором квартале. Однако напомним, что в первом квартале этого года мы столкнулись с источником атак численностью почти 1 млн устройств.
Векторы атак
Доля атак, основанных на протоколе TCP, то есть SYN flood, TCP flood, достигла почти трети от общего числа атак за период, при том что это достаточно сложные в организации атаки, дорогостоящие, требующие специальной технической подготовки и потенциально ведущие к возможным проблемам у злоумышленника. Ранее такого роста не наблюдалось. Сейчас же достаточно простые и известные всем атаки типа Amplification уже стали настолько обыденными в интернете, что многие компании научились от них защищаться, и профессиональные злоумышленники, чтобы удержать свой «бизнес» на плаву, вынуждены переходить к более серьёзным и дорогостоящим типам атак, которым намного сложнее противостоять.
Атаки прикладного уровня (L7)
В области атак прикладного уровня обращает на себя внимание доля атак с поддельных браузеров – более 10%. Еще несколько лет назад такие атаки были редкостью, однако к 2022 году с активным распространением наборов инструментов для автоматизированного браузерного тестирования упростилась и задача злоумышленников по организации DDoS-атак и прочему сканированию веб-сайтов на уязвимости с целью последующей эксплуатации. Особенность таких атак в том, что по простым косвенным критериям отличить ботов от обычных людей нельзя – они проходят все косвенные проверки, и отсев таких запросов и трафика может идти только по поведенческим критериям, то есть переходы между страницами, паттерны поведения, наиболее часто запрашиваемые ресурсы.