Число DDoS-атак продолжает увеличиваться

«По нашим оценкам, общее количество распределенных атак, направленных на отказ в обслуживании (Distributed Denial of Service, DDoS), за 2019 год выросло примерно в полтора раза», – констатировал технический директор компании Qrator Labs Артем Гавриченков. Наиболее атакуемые индустрии – платежные системы, электронная коммерция и беттинг (ставки на исход спортивных матчей и иных событий). Банки теряют свою привлекательность для преступников благодаря широкому применению средств защиты, хотя число DDoS-атак на них по-прежнему велико. Лидерами по росту числа атак стали платежные системы (+187%) и криптосервисы (+487%).

В 2019 году были выявлены новые типы DDoS-атак с использованием техники amplification («усиление», когда атакующий от имени жертвы отправляет поддельный запрос, в ответ на который жертва получает значительно большее количество данных и вынуждена потом разгребать образовавшиеся завалы). Такие распределенные атаки, направленные на отказ в обслуживании, проводят даже школьники. Но в минувшем году были зафиксированы атаки на основе TCP-амплификации (реплицированный SYN/ACK-флуд). Возможность задействования протокола TCP для проведения масштабных атак типа amplification впервые была описана в исследовательской работе немецких ученых пять лет назад, но до прошлого года оставалась лишь теорией.

Атаки с запросами на подключение по протоколу TCP привели в августе 2019 года к недоступности ряда хостингов по всему миру. Трафик амплификации SYN/ACK достигал пиковых значений в 208 млн пакетов в секунду, а наиболее длительный период атаки с непрерывной бомбардировкой «мусорным» трафиком составил 11,5 ч.

При таких атаках метод защиты путем сброса всего UDP-трафика, который позволяет справиться с большей частью атак с использованием амплификации, часто не помогает нейтрализовать вектор SYN-ACK. Требуются комплексные меры защиты, которые небольшим интернет-компаниям реализовать нелегко. 

Другие новые способы организации DDoS-атаки, появившиеся в 2019 году: эксплуатация уязвимости в Web.Services.Discovery и сервисе удаленного управления компьютерами Apple (Apple ARMS), позволившая достигнуть коэффициента амплификации 35,5. 

DDOS-атаки можно разделить на три класса. Атаки нижнего уровня (L2–L3 модели OSI) осуществляются за счет исчерпания полосы пропускания. Если представить канал как водопроводную трубу, пропускающую ограниченное количество воды, то труба забивается злоумышленником. На среднем уровне (L4–L6) атакуются криптографические и транспортные протоколы, создаются проблемы в инфраструктуре, некоторые узлы которой даже не контролируются оператором связи (СОРМ). На высоком уровне (L7) организуются узкие места в сайтах, платежных системах и мобильных приложениях. 

Чаще атакуют нижний и верхний уровень, подобно тому, как в многоквартирном доме самые обворовываемые этажи – первый и последний. Особенность прошедшего года – рост DDoS-атак на СМИ, сайты которых нередко имеют слабую защиту от этого вида угроз. Причем атаки идут преимущественно на высоком уровне (L7).

Средний размер управляемой преступниками сети (ботнета) вырос на 20%. Во многом это обусловлено использованием устройств с не обновляемым ПО, например, старых мобильных телефонов, и с распространением интернета вещей. 

Так, недавно сообщалось об обнаружении встроенного бэкдора в платах, программируемых китайской компанией Xiongmai, которые многие бренды устанавливают в системах видеонаблюдения. В такой системе удаленный доступ к видеорегистратору можно получить, подключившись через интернет с помощью логина root и одного из шести опубликованных паролей. Программа организации DDoS-атаки, эксплуатирующая этот бэкдор, выложена на GitHub. Как правило, компании объясняют такие уязвимости халатностью разработчиков, забывших убрать фрагменты отладочного кода.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!