Qrator Labs: количество DDoS-атак на российские сайты за 2013 г. выросло на четверть

Российская компания Qrator Labs, специализирующаяся на защите сайтов от DDoS-атак, составила отчет по активности киберпреступников в этой сфере в 2013 г. По оценкам компании, общее количество атак на российские сайты выросло за прошлый год примерно на четверть. Также возросло среднее число атак, приходящихся на один сайт. Одна из причин происходящего — в том, что осуществить DDoS-атаку в последние годы не становится сложнее. Например, для организации атаки типа DNS Amplification полосой 150 Гбайт/с и больше достаточно 5-10 серверов средней мощности.

Количество ботов в различных странах мира, по данным Qrator Labs, сильно разнится. Так, на долю России приходится 14% общего количества, на Казахстан – 6,5%, на Германию 6%, на Украину 4,3%, на Китай 3,9%. Доля каждой из остальных стран не превышает 3%.

Максимальный размер ботнета, задействованного в атаке, вырос с 207 401 до 243 247 машин. Увеличилась также доля Spoofing-атак – с 43,05 до 57,97% (это атаки, в которых вместо IP-адреса реального пользователя подставляется фальшивый.) Максимальная длительность атаки сократилась с 83 дней в 2012 г. до 22 дней в 2013-м.

При этом хакеры стали более гибкими в отношении выбора метода атаки. Аналитики компании наблюдают четкую тенденцию уменьшения длительности атак на клиентов — если раньше исполнители атак могли долго пытаться преодолеть защиту, то сейчас речь идет в основном о кратковременных «пробах прочности», за которыми следует отказ от намерений либо смена методики или технологии атаки.

По данным Qrator Labs, на фоне заметного роста «интеллектуализации» ботнетов, имитирующих поведение рядового пользователя, также существенно выросло количество высокоскоростных атак типа SYN-flood.

С марта по октябрь 2013 г. подавляющее число атак производилось с использованием DNS Amplification. Это атаки, когда злоумышленник посылает запрос (обычно короткий в несколько байт) уязвимым DNS-серверам, которые отвечают на запрос уже в разы большими по размеру пакетами. Если при отправке запросов использовать в качестве исходного IP-адреса адрес компьютера жертвы (ip spoofing), то уязвимые DNS-серверы будут посылать ненужные пакеты этому компьютеру, пока полностью не парализуют его работу. Часто объектом такой атаки оказывается инфраструктура провайдера, которым пользуется жертва. Нападения такого типа совершались в прошлом году как на клиентов крупных операторов, так и небольших провайдеров хостинговых услуг. С октября по декабрь проявила активность крупная бот-сеть, объединяющая более 700 тыс. компьютеров-зомби, которая использовалась для нападения преимущественно на российские банки среднего размера. Эта активность совпала с действиями ЦБ РФ по отзыву лицензий у ряда банков. В декабре 2013-го стало расти число атак c использованием технологии NTP Amplification. Такие атаки по принципу организации похожи на DNS Amplification, но вместо DNS-серверов злоумышленники используют серверы синхронизации времени -- NTP. Увеличение количества подобных инцидентов продолжается и в первые два месяца 2014 г.

С учетом приведенной статистики в Qrator Labs считают, что в 2013 г. наблюдался ряд тенденций, которые в текущем году продолжат свое развитие:

· рост числа высокоскоростных DDoS-атак с использованием Amplification публичных UDP-сервисов;

· совершенствование атак уровня приложений с использованием ботнетов. Такие атаки часто низкоскоростные и алгоритмы их автоматического обнаружения довольно сложны;

· цель 2013 г. у киберпреступников — DNS-серверы; технология DDoS года — DNS Aplification.

Два года назад ожидалось, что атаки сетевого уровня будут постепенно уступать место прикладным атакам, но летом 2013 г. преступники смогли организовать атаку 150 Гбайт/с, и это не повлекло никакой реакции в индустрии. Следовательно, если не будут предприниматься согласованные меры всех участников межоператорского взаимодействия по противодействию угрозе, с высокой вероятностью можно ожидать устойчивого роста и скоростей, и количества атак, полагают в Qrator Labs.

Другим важным трендом на ближайшие годы могут стать атаки с использованием протокола BGP, отвечающего за глобальную доступность сетей в Интернете (так называемые атаки BGP Hijacking). Суть проблемы заключается в отсутствии механизмов проверки источника маршрутной информации, что в результате делает возможным неавторизованное перенаправление трафика (перехват) на свою AS и его последующий анализ или сброс. Обнаружить такой перехват со стороны атакуемой AS теоретически невозможно. Начиная с 2013 г. использование данной конструктивной уязвимости BGP встало на поток, а задачи, решаемые атакующими, стали шире. Теперь это не только атаки на отказ в обслуживании, но и перехват трафика (man-in-the-middle), а также использование чужого адресного пространства для других видов хакерской деятельности: рассылка спама, обычные DoS атаки и т. д. При отсутствии методов непосредственной борьбы с BGP Hijacking единственным решением остается внешний мониторинг, который может позволить оперативно реагировать на возникающие проблемы в глобальной маршрутизации.