Атаки и инциденты

Компания Qrator Labs, специализирующаяся на обеспечении доступности интернет-ресурсов и нейтрализации DDoS-атак, представляет статистику DDoS-атак и BGP-инцидентов во втором квартале 2021 года.

Векторы атак

Во втором квартале 2021 года был зафиксирован серьезный рост UDP flood атак, на долю которых пришлось более половины нападений – 53,04%. Именно UDP flood используется для генерации большого количества флуда из-за большого числа уязвимых серверов. Рост этого сегмента обусловлен увеличением доли атак полосой 10-100 Гбит/сек – это класс высокоскоростных атак, для организации которых часто используется техника Amplification публичных UDP-сервисов.

Более сложные атаки, такие как SYN flood, также не сдают своих позиций: их доля во втором квартале составила 11,9%. Такие атаки опасны тем, что приводят в беспорядок инфраструктуру, «выключают» отдельные устройства, и бороться с ними путем простого сброса трафика не получается – для этого требуются более «умные» методы фильтрации.

Теперь три основных “чистых” вектора атак – это UDP, IP и SYN-флуд, на которые приходится 78% всех DDoS-атак второго квартала.

Длительность атак

Во втором квартале медианное время атаки составило 270 секунд, что близко к наблюдениям за 2020 год, когда этот показатель равнялся 300 секундам. По сравнению с первым кварталом 2021 года, медианное время атаки выросло значительно – со 180 секунд.

Среднее время атаки выросло еще существеннее — с ~700 секунд в первом квартале до почти 2000 секунд во втором, увеличившись почти трехкратно.

Большая продолжительность была почти универсальным правилом для атак второго квартала 2021 года. По сравнению с первым кварталом, во втором даже самые короткие атаки удвоились в продолжительности.

Полоса атак

Средняя пропускная способность всех DDoS-атак второго квартала 2021 года составила 6,5 Гбит/с. В первом квартале эта цифра была чуть выше – 9,15 Гбит/с, тогда как в четвертом квартале 2020 года данный показатель составил лишь 4,47 Гбит/с.

Впечатляет, особенно учитывая, что почти во всем мире май и июнь можно считать отпускными месяцами. А с увеличением продолжительности атаки это еще более тревожная, хотя и ожидаемая тенденция.

Самый большой ботнет

Размер наибольшего наблюдаемого ботнета вырос практически в 2 раза: с 73 892 машин в 1 квартале 2021 года до 137 696 – во втором. Большинство заблокированных IP-адресов, из которых состоял данный ботнет, были из Вьетнама, Индии, Индонезии и Таиланда.

Распределение атак по полосе пропускания

В Интернете полоса пропускания постоянно растёт, каналы увеличиваются, поэтому если раньше многие атаки были меньше по полосе пропускания просто потому, что они «забивали» локальную последнюю милю, то теперь последняя миля – это оптоволокно в каждый дом, по гигабиту в каждую квартиру и даже в каждый телефон, поскольку развертывание сетей 5G идет семимильными шагами. Все это приводит к тому, что тихо и незаметно даже самые рядовые, не исключительные атаки начинают переходить из сегмента с полосой пропускания 1-10 Гб/сек, в более серьезный сегмент – 10-100 Гб/сек. Сегодня на его долю приходится уже треть всех зафиксированных атак.

Раньше сегмент 1-10 Гб/сек был показательным, поскольку в диапазоне 10-100 Гб/сек было не так много атак. Однако теперь диапазон 10-100 Гб/сек придется разбивать на более мелкие отрезки для демонстрации явной динамики перехода нападений в сегменты с более высокими скоростями.

Распределение атак по индустриям

Проведение Чемпионата Европы по футболу 2021 не могло не оказать влияние на динамику атак на онлайн-ресурсы компаний из различных сфер бизнеса. Несмотря на то что май и июнь – довольно спокойные месяцы из-за начала отпускного периода, в этом году благодаря Евро-2020 они продемонстрировали интересную динамику в части атак.

На ряд индустрий нагрузка действительно упала. Например, атаки на игровой сектор сократились в 5 раз: с 11,74% до 2,29%, на сегмент FOREX – в 2 раза с 5,87% до 2,74%.

Однако злоумышленники переключили свое внимание на другие сферы бизнеса. В частности, доля числа нападений на сегмент беттинга выросла в 4 раза: с 2,20% до 8,38%, продемонстрировав типичный сценарий организации заказных DDoS-атак в конкурентной среде. С началом Чемпионата Европы по футболу игроки индустрии ставок на спорт стали давать активную рекламу своих услуг в Интернете, вкладывая значительные средства в маркетинг. Поэтому неудивительно, что число атак на этот сегмент резко возросло ввиду существенного обострения конкуренции.

Инциденты BGP

Количество уникальных автономных систем, которые участвовали в перехватах или утечках маршрутов BGP, немного снизилось во втором квартале по сравнению с первым, хотя количество участников в отдельно наблюдаемых месяцах почти не изменилось. Кроме этого, в мае и июне количество перехватывающих автономных систем значительно выросло, по сравнению с предыдущими месяцами. Так, май стал первым месяцев, когда количество уникальных автономных систем, создававших перехваты, превысило 10 тысяч.

Количество отдельных инцидентов, связанных с перехватом или утечкой маршрутов также выросло, по сравнению с первым кварталом. Почти десять миллионов утечек маршрутов во втором квартале – значительная цифра, которая будет разве что увеличиваться в отсутствие значительных мер по их предотвращению. Количество перехватов оказалось сопоставимо с первым кварталом 2021 года.

О компании

Qrator Labs предоставляет услуги по сетевой безопасности с 2009 года, обеспечивая для своих клиентов непрерывную доступность интернет-ресурсов и противодействие DDoS-атакам. Облачная инфраструктура компании имеет покрытие как в Европе, так и в США, а также в странах Ближнего Востока и Азии и обеспечивается тринадцатью точками фильтрации.

Уникальная глобальная система мониторинга интернета Qrator.Radar является разработкой компании и предоставляет данные о BGP-сессиях в реальном времени (свыше 700 BGP-сессий). Компания также предоставляет широкий спектр услуг по сетевой безопасности, включая WAF и CDN в партнёрстве с ведущими провайдерами этих услуг в мире.

Следуя своей миссии обеспечения непрерывной доступности интернет-ресурсов для людей и бизнеса, компания является активным участником экспертных советов и организаций по улучшению глобальных сетевых технологий и регулированию вопросов интернет-безопасности в мире (RIPE, IETF, различные NOG и другие).

 

Похожие записи