Согласно исследованиям аналитиков фирмы Akamai, в 1-м кв. 2015 г. был установлен новый рекорд по количеству DDoS атак в сетях на базе PLX-маршрутизаторов (устройства с шиной PCI 3-го поколения, созданные по 40-нм технологии. прим. ред.). Предыдущее «достижение» 1-го кв. 2014 г. было превышено более чем в два раза, а уровень атак в предыдущем квартале – на 35%.
Однако профиль атак в 2015 г. изменился. Если в 2014 г. типовыми были «широкополосные» и короткие атаки, то в 1-м кв. 2015 г. основная масса DDoS-атак использовала скорости менее 10 Гбит/с и продолжалась более 24 ч. Произошло и восемь мега-атак на скорости 100 Гбит/c. И хотя количество мега-атак на одну меньше, чем в 4-м кв. 2014 г., столь масштабные атаки год назад наблюдались редко. Наиболее мощная атака в отчетный период достигала скорости 170 Гбит/c.
По данным аналитиков, цель и направленность DDoS менялись на протяжении всего прошлого года. В 1 кв. 2015 г. 20% от их общего объема составили атаки на SSDP-протокол (Simple Service Discovery Protocol), тогда как данный тип атак не наблюдался ни в 1-м, ни во 2-м кварталах 2014 г. Провоцирующим фактором SSDP-атак стал огромный парк домашних и офисных устройств (маршрутизаторы, медиа-серверы, web-камеры, smart-ТВ и принтеры), присоединенных к сети. Если бы не было ошибок конфигурирования и прорех в защите, эти устройства могли бы служить своеобразным отражателем атак.
По данным Akamai, первенство по количеству атак в 1 кв. 2015 г. сохраняет сегмент игр; он наиболее привлекателен и подвержен атакам, начиная со 2-го кв. 2014 г. – его доля 35% всего объема атак. Второе место у сегмента «ПО и технологии» с долей 25%.
По сравнению с 1-м кв. 2014 г. общее количество DDoS-атак выросло на 116,5%. При этом на 53,83% увеличилось их число на уровне приложений (7-й уровень), на 124,69% – на уровне инфраструктуры (3 и 4-й уровни). А средняя продолжительность атаки составила 24,82 ч, что на 42,8% больше, чем в в тот же квартал годом ранее (тогда – 17,38 ч).
Если сравнивать статистику атак с 4-м кв. 2014 г., то рост составил:
-- по общему количеству DDoS-атак – 35,24%,
-- по атакам на уровне приложений – 22,22%,
-- по атакам на инфраструктурном уровне – 36,74%.
А вот продолжительность уменьшилась на 15,37% (24,82 ч по сравнению с 29,33 ч).
Количество целевых атак на web-приложения в 1 кв. 2015 г. достигло 178,85 млн. (SQL-правки, инклюзии файлов на локальном и удаленном уровнях, вставки в PHP-тексты, вставки в командные файлы и JAVA-скрипты, а также подгрузка вредоносных файлов). При этом доля инклюзий файлов в локальные ПК в 1 кв. 2015 г. составила более 66%, что возможно, объясняется массивными атаками на сайты ритейлеров в марте 2015 г. Доля SQL-атак в общем количестве web-атак на приложения – 29%, причем основная их часть пришлась на две компании из секторов путешествий и здравоохранения. Остальные пять типов атак в сумме получили 5%. Наиболее подверженным атакам аналитики считают сектор ритейла и медиа-компаний.
Что касается скорости нападения, то еще год назад его пиковое значение измерялось 10-20 Гбит/с, а сегодня – уже 100 Гбит/c, что более опасно для сайтов.
Еще одним провоцирующим фактором может стать повсеместное внедрение протокола IP6. Хотя пока DDoS-атаки на IP6 и не стали повсеместными, разработка хакерами атак этого типа уже ведется. Угроза, прежде всего, касается облачных сервисов, а также владельцев домашних и офисных сетей. Многие DDoS-атаки, заточенные на IP4, вполне могут копироваться на IP6, но некоторые хакеры уже используют и особенности архитектуры IP6. При этом определенные свойства IP6 позволяют атаке преодолеть защиту, базирующуюся на IP4, создавая гораздо большую угрозу.