Специалисты Qrator Labs подготовили статистику DDoS-атаках и BGP-инцидентах в третьем квартале 2022 года. По их данным, в целом наблюдается спад DDoS-атак, но их интенсивность все равно превышает показатели 2021 года в десятки раз.
Исследователи рассказывают, что в этом квартале самая продолжительная из зарегистрированных атак длилась более 1 дня и 20 часов, то есть целеустремленный атакующий может довольно долго непрерывно удерживать атаку на ресурс жертвы.
«Как правило, атаки, совершаемые на клиентов Qrator Labs, организуются либо новичками в индустрии, которые не очень в курсе, как устроены защитные сервисы, либо являются “пробой пера” уже опытных атакующих. С этим связано то, что средняя и минимальная продолжительность атаки стремятся к значениям всего нескольких минут: пробные атаки, которые не достигают своей цели спустя несколько минут, злоумышленники сразу отключают, – комментирует Александр Лямин, основатель Qrator Labs. – В то же время, для понимания рисков, которые может нести незащищенный бизнес в случае продолжительной DDoS-атаки, стоит смотреть на противоположную границу “шкалы” – на максимальную продолжительность атаки, которая составляет более суток».
Что касается векторов и продолжительности атак, здесь наблюдается четкое превалирование длительности UDP-flood над другими техниками.
Эксперты отмечают, что организация атак типа SYN-flood, TCP-flood требует достаточно серьезной подготовки – необходимо подготовить сетевой драйвер, накопить мощности, найти хостинг, который будет разрешать атаки с поддельным адресом источника. Все это сложно, новичку не доступно и достаточно дорого, поэтому продолжительность SYN-flood и атак, относящихся к TCP, является очень невысокой – порядка нескольких десятков минут, в некоторых случаях — нескольких часов. Однако атака, показавшая себя успешной, будет неизбежно повторена злоумышленником, пока тот не добьётся своей цели (например, выкупа от жертвы за прекращение атак).
Среди атак UDP-flood преобладают разные атаки типа Amplification, то есть атаки, связанные с эксплуатацией старых уязвимых серверов. Затрат злоумышленника на организацию атаки схожей по объему с SYN-flood требуется меньше, вероятность того, что его обнаружат – ниже, и высокой технической подготовки также не требуется. Кроме того, серверы амплификации сами по себе могут заметно увеличивать трафик, что позволяет атакующему разгонять атаки от нескольких десятков до нескольких сотен Гбит/сек, что для атак типа SYN-flood сделать было бы крайне затруднительно.
В отличие от SYN-flood, продолжительность которого сравнительно невысока, основанные на UDP атаки могут длиться несколько дней, даже если не оказывают никакого видимого эффекта на защищаемый сервис. Если SYN-flood обычно останавливают достаточно рано, чтобы не нести бесполезные затраты при неуспешности атак, то Amplification и UDP-flood злоумышленник может держать произвольное время без каких-либо последствий, например, в ожидании, пока атакуемый ресурс не пойдет ему навстречу, выплатив выкуп, или маскируя тем самым произошедший некоторое время назад взлом.
В целом доля атак, основанных на протоколе TCP, то есть SYN flood, TCP flood, достигла почти трети от общего числа атак за период. При этом такие атаки достаточно сложны в организации, дорог стоят и требуют специальной технической подготовки и потенциально ведут к возможным проблемам у злоумышленника.
Также в отчете отмечается, что в третьем квартале была зарегистрирована рекордная по размеру полосы атака, организованная на одного из клиентов Qrator Labs. Ее скорость составила 903,67 Гбит/с.
Наиболее значительным источником атак стал ботнет на 115 000 устройств. Заметное увеличение, по сравнению с 84 000 устройств во втором квартале.
В области атак прикладного уровня (L7) обращает на себя внимание доля атак из поддельных браузеров – более 10%. Эксперты отмечают, что еще несколько лет назад такие атаки были редкостью, однако к 2022 году с активным распространением наборов инструментов для автоматизированного браузерного тестирования упростилась и задача по их организации и прочему сканированию сайтов на уязвимости с целью последующей эксплуатации.
В компании объясняют, что особенность таких атак заключается в том, что по простым и косвенным критериям отличить ботов от обычных людей нельзя: они проходят все косвенные проверки. Отсев таких запросов и трафика может идти только по поведенческим критериям, то есть переходы между страницами, паттерны поведения, наиболее часто запрашиваемые ресурсы.
