Prolexic: DDoS-атаки в IV квартале и главные итоги 2012 года

В минувшем квартале эксперты Prolexic Technologies зафиксировали рост числа DDoS-атак, проводимых по клиентской базе компании, и расширение спектра мишеней, атакуемых злоумышленниками.

В октябре-декабре защитные решения Prolexic отразили 7 DDoS-атак мощностью свыше 50 Гб/с. От них в равной степени страдали финансовые организации, предприятия электронной коммерции и SaaS-сервисы. По свидетельству экспертов, нападающие использовали не только тулкит itsoknoproblembro, уже получивший альтернативное имя ― BroDoS, но и другие инструменты, создававшие не меньший DDoS-трафик.

Общее количество DDoS-атак за квартал побило все рекорды, пик этой активности пришелся на ноябрь. Согласно статистике Prolexic, три четверти атак были проведены с использованием протоколов 3 и 4 уровня, остальные ― на уровне приложений. Примерно такое же соотношение наблюдалось в течение всего года. Наибольшее распространение в отчетный период получили такие техники, как SYN flood (24% атак), GET flood (20,6%), ICMP flood (18%) и UDP flood (15,5%). При этом SYN flood обычно проводились с ботнетов на базе ПК, UDP flood ― с веб-серверов с предустановленными шелл-скриптами. В создании DDoS-трафика прикладного уровня участвовали все наличные силы ― и боты, и веб-скрипты.

Основная статистика Prolexic по DDoS-атакам за IV квартал выглядит следующим образом:

Сравнительно с III кварталом 2012 г.

• общее число инцидентов возросло на 27,5%,
• количество атак на сетевую инфраструктуру увеличилось на 17%, на приложения ― на 72%,
• средняя продолжительность атак возросла на 67%, с 19,2 до 32,2 ч,
• средняя мощность атак увеличилась на 20%, с 4,9 до 5,9 Гб/с.

Сравнительно с IV кварталом 2011 г.

• общее количество инцидентов увеличилось на 19%,
• число атак 3 и 4 уровня выросло на 15%, 7 уровня ― на 30%,
• продолжительность атак уменьшилась на 6%,
• мощность возросла на 13%.

Среди стран-источников DDoS-трафика первенство по-прежнему удерживает Китай, с показателем 55,44%. За ним с большим отрывом следуют Германия (9,07%), вернувшаяся в десятку лидеров, и Индия (8,77%). Вернулась в Top 10 и Франция (3,31%), заняв 9 место. США (2,71%) спустились со 2 на 10 позицию, а Россия выбыла из этого непочетного списка.

Эксперты также отметили, что в сравнении с 2011 г. количество DDoS-инцидентов, фиксируемых в течение года, увеличилось более чем в полтора раза. Важной тенденцией, проявившейся в минувшем году, является рост числа атак на DNS-структуру. За год этот прирост составил 1,19%, за последний квартал ― 4,67%. Большое распространение при этом получил метод отражения DNS-запросов (DNS reflection), позволяющий скрыть реальный источник атаки и выполнить атаку с плечом за счет использования открытых резолверов.

Пожалуй, самым ярким событием года на DDoS-арене является премьера тулкита itsoknoproblembro. Активное освоение этого php-инструментария, позволяющего автоматизировать процесс эксплуатации уязвимостей, заражения и управления атакой, привело к заметной смене состава участников DDoS. В прежние годы атакующие делали главную ставку на зараженные рабочие станции, объединяя их в обширные бот-сети с централизованным управлением. Эффективное появление itsoknoproblembro доказало, что не менее большим потенциалом в этом плане обладают также зараженные высокопроизводительные веб-серверы.