Qrator Labs, специализирующаяся на обеспечении доступности интернет-ресурсов и нейтрализации DDoS-атак, представила статистику DDoS-атак и BGP-инцидентов во II квартале 2021 г.
Во II квартале 2021 г. был зафиксирован серьезный рост UDP flood атак, на долю которых пришлось более половины нападений – 53,04%. Именно UDP flood используется для генерации большого количества флуда из-за большого числа уязвимых серверов. Рост этого сегмента обусловлен увеличением доли атак полосой 10-100 Гбит/сек – это класс высокоскоростных атак, для организации которых часто используется техника Amplification публичных UDP-сервисов.
Более сложные атаки, такие как SYN flood, также не сдают своих позиций: их доля во II квартале составила 11,9%. Такие атаки опасны тем, что приводят в беспорядок инфраструктуру, «выключают» отдельные устройства, и бороться с ними путем простого сброса трафика не получается – для этого требуются более «умные» методы фильтрации.
Теперь три основных «чистых» вектора атак – это UDP-, IP- и SYN-флуд, на которые приходится 78% всех DDoS-атак II квартала.
Во II квартале медианное время атаки составило 270 секунд, что близко к наблюдениям за 2020 г., когда этот показатель равнялся 300 секундам. По сравнению с I кварталом 2021 г., медианное время атаки выросло значительно – со 180 секунд.
Среднее время атаки выросло еще существеннее – с ~700 секунд в I квартале до почти 2 тыс. секунд во II, увеличившись почти трехкратно.
Большая продолжительность была почти универсальным правилом для атак II квартала 2021 г. По сравнению с I кварталом во II даже самые короткие атаки удвоились в продолжительности.
Средняя пропускная способность всех DDoS-атак II квартала 2021 г. составила 6,5 Гбит/с. В I квартале эта цифра была чуть выше – 9,15 Гбит/с, тогда как в IV квартале 2020 г. данный показатель составил лишь 4,47 Гбит/с.
Впечатляет, особенно учитывая, что почти во всем мире май и июнь можно считать отпускными месяцами. А с увеличением продолжительности атаки это еще более тревожная, хотя и ожидаемая тенденция.
Размер наибольшего наблюдаемого ботнета вырос практически в два раза: с 73892 машин в I квартале 2021 г. до 137696 – во II. Большинство заблокированных IP-адресов, из которых состоял данный ботнет, были из Вьетнама, Индии, Индонезии и Таиланда.
Интеграция
В интернете полоса пропускания постоянно растёт, каналы увеличиваются, поэтому если раньше многие атаки были меньше по полосе пропускания просто потому, что они «забивали» локальную последнюю милю, то теперь последняя миля – это оптоволокно в каждый дом, по гигабиту в каждую квартиру и даже в каждый телефон, поскольку развертывание сетей 5G идет семимильными шагами. Все это приводит к тому, что тихо и незаметно даже самые рядовые, не исключительные атаки начинают переходить из сегмента с полосой пропускания 1-10 Гб/сек в более серьезный сегмент – 10-100 Гб/сек. Сегодня на его долю приходится уже треть всех зафиксированных атак.
Раньше сегмент 1-10 Гб/сек был показательным, поскольку в диапазоне 10-100 Гб/сек было не так много атак. Однако теперь диапазон 10-100 Гб/сек придется разбивать на более мелкие отрезки для демонстрации явной динамики перехода нападений в сегменты с более высокими скоростями.
Проведение Чемпионата Европы по футболу 2020 не могло не оказать влияние на динамику атак на онлайн-ресурсы компаний из различных сфер бизнеса. Несмотря на то что май и июнь – довольно спокойные месяцы из-за начала отпускного периода, в этом году благодаря Евро-2020 они продемонстрировали интересную динамику в части атак.
На ряд индустрий нагрузка действительно упала. Например, атаки на игровой сектор сократились в пять раз: с 11,74% до 2,29%, на сегмент FOREX – в два раза с 5,87% до 2,74%.
Однако злоумышленники переключили свое внимание на другие сферы бизнеса. В частности, доля числа нападений на сегмент беттинга выросла в четыре раза: с 2,20% до 8,38%, продемонстрировав типичный сценарий организации заказных DDoS-атак в конкурентной среде. С началом Чемпионата Европы по футболу игроки индустрии ставок на спорт стали давать активную рекламу своих услуг в интернете, вкладывая значительные средства в маркетинг. Поэтому неудивительно, что число атак на этот сегмент резко возросло ввиду существенного обострения конкуренции.
Количество уникальных автономных систем, которые участвовали в перехватах или утечках маршрутов BGP, немного снизилось во II квартале по сравнению с I, хотя количество участников в отдельно наблюдаемых месяцах почти не изменилось. Кроме этого, в мае и июне количество перехватывающих автономных систем значительно выросло, по сравнению с предыдущими месяцами. Так, май стал первым месяцев, когда количество уникальных автономных систем, создававших перехваты, превысило 10 тыс.
Количество отдельных инцидентов, связанных с перехватом или утечкой маршрутов также выросло, по сравнению с I кварталом. Почти 10 млн утечек маршрутов во II квартале – значительное число, которое будет разве что увеличиваться в отсутствие значительных мер по их предотвращению. Количество перехватов оказалось сопоставимо с II кварталом 2021 г.