Аналитики компании Imperva Incapsula, которая занимается защитой от DDoS-атаки, представили интересный отчет, где рассказали о технике атак Pulse Wave, значительно затрудняющей борьбу DDoS и быстро набирающей популярность среди киберпреступников.

Специалисты обратили внимание, что в последние месяцы DDoS-атаки на графиках стали выглядеть не совсем так, как обычно (см. иллюстрации ниже). Атаки производятся с помощью коротких, повторяющихся через равные промежутки времени импульсов, пиковая мощность которых достигает 350 Гбит/с, и могут длиться днями напролет.

Исследователи объясняют, что такой поход помогает операторам DDoS-ботнетов убить сразу двух зайцев. Во-первых, так они могут атаковать сразу несколько целей одновременно. Когда импульс прекращается, и наступает короткое затишье, ботнет не простаивает без дела, скорее всего, он атакует другую цель.

Во-вторых, подобные атаки «смущают» системы защиты от DDoS атак, которые основаны на гибридных техниках защиты, то есть первый рубеж обороны – это аппаратные on-premise продукты, а второй слой защиты – это облачные решения. Дело в том, что железо должно запрашивать дополнительную поддержку от облака, если DDoS-атака слишком сильна и аппаратные решения не могут справиться с потоком трафика самостоятельно. Но Pulse Wave работает не так, как классический DDoS. Атака начинается быстро и так же быстро заканчивается, аппаратные решения буквально тонут в мощном потоке трафика, но им не хватает ни времени, ни полосы пропускания, чтобы запросить облачную помощь.

Фактически каждый импульс отключает аппаратуру целевой компании. На восстановление работоспособности после такой стремительной атаки уходит несколько минут, но за первым импульсом следуют второй, третий и так далее. Такая методика позволяет злоумышленникам растянуть DDoS-атаку на долгое время и мешает корректной работе защитных решений, Pulse Wave затрудняет даже создание сигнатуры атаки, не говоря обо всем остальном.

С детальным отчетом, посвященным проблеме Pulse Wave, можно ознакомиться здесь.



6 комментариев

  1. Владиславище

    19.08.2017 at 09:12

    Логичное развитие концепции Нападение-Оборона. Как только научились эффективно защищаться от какого-либо оружия, и оно уже не эффективно, изобретается новое, против которой защита не устоит. В общем ждём ответного хода от Безопасников.

  2. Skybad

    19.08.2017 at 09:16

    Только вот таким способом тяжело вывести из работы цель в нужное время.

    • Владиславище

      19.08.2017 at 15:10

      Вы последний параграф не прочитали видимо — аппаратура падает на первом же импульсе. Судя по графику импульсы в данной DDOS, чередуются примерно каждые 5, а на втором графике 2 минуты и длятся примерно половину этого времени. В принципе получается если правильно настроить Ботнет, то одновременно можно устроить 2-е атаки на полной мощности Ботнета.

  3. pintiyskiy

    21.08.2017 at 07:47

    Наконец-то эта тема начала достойно освещаться. А то большинство до сих пор думает об анонимности биткойна!

    • john_

      22.08.2017 at 16:31

      Интересно, как скоро научаться бороться с этим видом атак..

      Как вариант, чтобы кто то организовал центр сертификации IoT устройств.

      Это уже давно перестало быть смешным — IoT-ботнеты очень масштабны и могут представлять большую угрозу… А количество говно-девайсов все растёт.

Оставить мнение