Хакер #305. Многошаговые SQL-инъекции
Компания Nexusguard, специализирующаяся на мониторинге и отражении DDoS-атак, рассказала о масштабах и характере атак, которые наблюдались в четвёртом квартале 2015 года. В середине ноября на первое место по количеству инцидентов вышла Турция. Мощным атакам подверглись турецкие операторы связи, банки и компании.
В октябре за лидерство в этом рейтинге, как обычно, соперничали Китай и Соединённые Штаты. Ничто не предвещало, что главной целью DDoS станет Турция. Однако в середине ноября количество инцидентов начало быстро расти и вскоре превысило 30 тысяч в день. Это в несколько раз больше нормального уровня.
Причина всплеска — резкое усиление DDoS-атак, направленных против Турции. Nexusguard датирует начало атак на Турцию 13 ноября 2015 года. После этого они не ослабевали в течение нескольких недель и достигли пика 27 декабря. Наиболее мощные атаки обрушились на сети телекоммуникационных компаний Turkcell и Turk Telecom, а также на турецкий банк Garanti.
По итогам года с Турцией оказались связаны 118783 инцидента, то есть почти в четыре раза больше, чем с США, где был зафиксирован лишь 31181 инцидент. Для сравнения, за тот же период в России зафиксировано 3013 инцидентов.
В DDoS-атаках, направленных против Турции, применялась методика усиления при помощи DNS (DNS amplification). При такой атаке DNS-серверы получают от злоумышленника поддельные запросы, которые вынуждают их направлять жертве развёрнутые ответы. В результате на жертву обрушивается нагрузка, которая многократно превосходит исходящий трафик злоумышленника. Другие популярные методики DDoS-атак используют похожий принцип, но эксплуатируют не DNS-серверы, а Network Time Protocol (NTP) и Character Generator Protocol (CHARGEN).
Выбор усиления при помощи DNS для атак на Турцию обеспечил этой методике существенный перевес в итоговой статистике. Она применялась в 151216 инцидентах, то есть почти втрое чаще, чем NTP (55347 инцидентов), не говоря уж о CHARGEN (11170 инцидентов).
В Nexusguard предполагают, что турецкие DDoS-атаки напрямую связаны с обострением отношений между Турцией и Россией. Интересно, впрочем, что даты не вполне сходятся. 13 ноября, когда начались атаки, Владимир Путин называл Турцию приоритетным внешнеэкономическим партнёром, и до гибели российского военного самолёта на турецко-сирийской границе — события, которое считается поворотной точкой в конфликте, — оставалось одиннадцать дней.
Nexusguard констатирует, что в начале 2016 года ситуация нормализовалась. DDoS-атаки, направленные против Турции, схлынули, на первое место по числу инцидентов вернулись Соединённые Штаты, а самой популярной методикой атак стало усиление при помощи NTP.