Rambler's Top100
Статьи
Николай НОСОВ  10 февраля 2020

Число DDoS-атак продолжает увеличиваться

В ушедшем году зафиксированы три новых типа DDoS-атак, увеличился средний размер ботнета, злоумышленники все чаще используют для организации вторжений уязвимости в устройствах интернета вещей.

«По нашим оценкам, общее количество распределенных атак, направленных на отказ в обслуживании (Distributed Denial of Service, DDoS), за 2019 год выросло примерно в полтора раза», – констатировал технический директор компании Qrator Labs Артем Гавриченков. Наиболее атакуемые индустрии – платежные системы, электронная коммерция и беттинг (ставки на исход спортивных матчей и иных событий). Банки теряют свою привлекательность для преступников благодаря широкому применению средств защиты, хотя число DDoS-атак на них по-прежнему велико. Лидерами по росту числа атак стали платежные системы (+187%) и криптосервисы (+487%).

Рис. 1. Наиболее страдающие от DDoS-атак отрасли (Источник: Qrator Labs)

Новации в DDoS-атаках

В 2019 году были выявлены новые типы DDoS-атак с использованием техники amplification («усиление», когда атакующий от имени жертвы отправляет поддельный запрос, в ответ на который жертва получает значительно большее количество данных и вынуждена потом разгребать образовавшиеся завалы). Такие распределенные атаки, направленные на отказ в обслуживании, проводят даже школьники. Но в минувшем году были зафиксированы атаки на основе TCP-амплификации (реплицированный SYN/ACK-флуд). Возможность задействования протокола TCP для проведения масштабных атак типа amplification впервые была описана в исследовательской работе немецких ученых пять лет назад, но до прошлого года оставалась лишь теорией.

Атаки с запросами на подключение по протоколу TCP привели в августе 2019 года к недоступности ряда хостингов по всему миру. Трафик амплификации SYN/ACK достигал пиковых значений в 208 млн пакетов в секунду, а наиболее длительный период атаки с непрерывной бомбардировкой «мусорным» трафиком составил 11,5 ч.

При таких атаках метод защиты путем сброса всего UDP-трафика, который позволяет справиться с большей частью атак с использованием амплификации, часто не помогает нейтрализовать вектор SYN-ACK. Требуются комплексные меры защиты, которые небольшим интернет-компаниям реализовать нелегко. 

Другие новые способы организации DDoS-атаки, появившиеся в 2019 году: эксплуатация уязвимости в Web.Services.Discovery и сервисе удаленного управления компьютерами Apple (Apple ARMS), позволившая достигнуть коэффициента амплификации 35,5. 

DDOS-атаки можно разделить на три класса. Атаки нижнего уровня (L2–L3 модели OSI) осуществляются за счет исчерпания полосы пропускания. Если представить канал как водопроводную трубу, пропускающую ограниченное количество воды, то труба забивается злоумышленником. На среднем уровне (L4–L6) атакуются криптографические и транспортные протоколы, создаются проблемы в инфраструктуре, некоторые узлы которой даже не контролируются оператором связи (СОРМ). На высоком уровне (L7) организуются узкие места в сайтах, платежных системах и мобильных приложениях. 

Чаще атакуют нижний и верхний уровень, подобно тому, как в многоквартирном доме самые обворовываемые этажи – первый и последний. Особенность прошедшего года – рост DDoS-атак на СМИ, сайты которых нередко имеют слабую защиту от этого вида угроз. Причем атаки идут преимущественно на высоком уровне (L7).

Все больше устройств под чужим контролем

Средний размер управляемой преступниками сети (ботнета) вырос на 20%. Во многом это обусловлено использованием устройств с не обновляемым ПО, например, старых мобильных телефонов, и с распространением интернета вещей. 

Рис. 2. Рост размеров ботнета (Источник: Qrator Labs)

Так, недавно сообщалось об обнаружении встроенного бэкдора в платах, программируемых китайской компанией Xiongmai, которые многие бренды устанавливают в системах видеонаблюдения. В такой системе удаленный доступ к видеорегистратору можно получить, подключившись через интернет с помощью логина root и одного из шести опубликованных паролей. Программа организации DDoS-атаки, эксплуатирующая этот бэкдор, выложена на GitHub. Как правило, компании объясняют такие уязвимости халатностью разработчиков, забывших убрать фрагменты отладочного кода.
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!