Arbor: частота и мощность DDoS не идут на убыль

Согласно наблюдениям Arbor Networks (ныне в составе NetScout Systems), в первой половине текущего года тенденция к росту мощности и частоты DDoS-атак не утратила своей актуальности. 27 Июль 2016, 13:29
Согласно наблюдениям Arbor Networks (ныне в составе NetScout Systems), в первой половине текущего года тенденция к росту мощности и частоты DDoS-атак не утратила своей актуальности. Так, в последние полтора года эксперты в среднем регистрируют 124 тыс. DDoS-инцидентов в неделю. Среднестатистическая мощность атак, зафиксированных Arbor в 2016 году, пока составляет 986 Мбит/с, что на 30% выше прошлогоднего уровня, а к концу года этот показатель, по прогнозам компании, может возрасти до 1,15 Гбит/с.

В своем отчете эксперты не преминули отметить, что росту частоты, мощности и сложности DDoS в большой мере способствует доступность готовых инструментов для проведения таких атак, а также специализированных услуг. Таких предложений на черном рынке по-прежнему много, и расценки весьма демократичные.

Пиковая мощность DDoS, по оценке Arbor, за полугодие возросла на 73% — до рекордных 579 Гбит/с. При этом более 100 Гбит на пике показали 274 атаки, свыше 200 Гбит — 46, тогда как по итогам прошлого года эти показатели составили 223 и 16 соответственно. Большинство инцидентов диапазона 100+ Гбит были направлены против американских, французских и британских мишеней.

Как правило, атаки высокой мощности проводились по методу отражения и усиления трафика (DrDoS, DDoS с плечом). В качестве посредников в них в основном использовались сетевые устройства, работающие по протоколам DNS, NTP и SSDP. Два последних были очень популярны у дидосеров в прошлом году, однако ныне они уступили пальму первенства DNS. Средняя мощность атак с DNS-плечом, по статистике Arbor, сильно возросла, самая мощная из таких DDoS, зафиксированных в первом полугодии, на пике показала 480 Гбит/с.

Помимо DrDoS для проведения атак высокой мощности злоумышленники также использовали ботнеты, в частности построенный на IoT-устройствах LizardStresser.  Этот ботнет изначально сдавался внаем, а после публикации исходников был, видимо, растиражирован, судя по недавним сообщениям Arbor об атаках мощностью до 400 Гбит с LizardStresser.

«Эта статистика доказывает необходимость использования гибридной или многоуровневой защиты от DDoS, — комментирует новый отчет Даррен Энсти (Darren Anstee), ведущий специалист Arbor по ИБ-технологиям. — Атакам, нацеленным на исчерпание магистральных каналов, можно противостоять лишь на уровне облака, за пределами атакуемой мишени. Тем не менее, хотя мощность DDoS верхнего диапазона быстро растет, 80% атак все еще показывают менее 1 Гбит/с, и 90% атак длятся менее часа. Защита на базе организации обеспечивает быстроту реакции, жизненно необходимую при атаках Low & Slow (маломощных и медленных) на уровне приложений или атаках на истощение обороноспособности локальной защиты, такой как межсетевые экраны и системы предотвращения вторжений».

Напомним, статистика Arbor основана на результатах анализа анонимных данных, предоставленных партнерами по использованию ее информационно-аналитической платформы ATLAS. В настоящее время ATLAS мониторит клиентский трафик более 330 интернет-провайдеров.