• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Рунет под гнетом DDoS

Эксперты по безопасности подвели итоги DDoS-активности в Рунете за последние 12 месяцев. Было выявилено две тенденции: усиление мощности атак и увеличение их продолжительности.

Отличительной особенностью первого полугодия 2013 года стало резкое возрастание мощности DDoS-атак в Рунете, говорят в «Лаборатории Касперского». По данным KDP, во второй половине 2012 года средняя мощность атаки составляла 34 Мб/с, а в начале этого года планка поднялась до 5,5 Гб/с. При этом получившие в Рунете популярность атаки типа UDP Flood с использованием DNS Amplification по мощности превышали 60 Гб/с.

По данным, полученным системой мониторинга ботнетов «Лаборатории Касперского», в первом полугодии 2013 года продолжительность DDoS-атак по сравнению со вторым полугодием 2012 года снизилась более чем вдвое — с 11 часов 19 минут до 4 часов 57 минут. Отметим, что это усредненные данные по всем сайтам, атакованным ботами наблюдаемых ботнетов, — как защищенным, так и незащищенным.

Максимальная длительность атаки составила 98 дней — именно столько времени от действий злоумышленников страдал один из русскоязычных хакерских ресурсов. Чуть меньше — 80 дней — DDoS-активисты блокировали доступ к сайту автолюбителей в Кирове. В целом, показатели продолжительности атак из TOP 10 не намного отличаются друг от друга

Средняя длительность атаки на защищенные ресурсы (14 часов) больше в сравнении с аналогичными данными системы мониторинга ботнетов (4 часа 57 минут). Это свидетельствует о том, что злоумышленники чувствуют свою безнаказанность и готовы тратить значительное время и ресурсы ботнета, чтобы пробить защиту сайтов. Их не останавливает даже то, что чем продолжительнее мощная атака, тем больше будет выявленных зараженных ботами компьютеров, после очистки которых уменьшится размер ботнета. Причина такого упорства заключается в том, что атаки на защищенные ресурсы — заказные, и злоумышленник получает деньги только в том случае, если атакуемый сайт удается сделать недоступным. Максимальная же продолжительность атаки на защищенные ресурсы значительно меньше, чем на незащищенные: администраторы ботнетов не тратят впустую ресурсы, если атака не имеет успеха и сайт во время атаки остается доступным.

Разница в распределении типов атак по данным системы мониторинга и информации от KDP объясняется тем, что незащищенные сайты (а таких большинство) можно сделать недоступными более простыми средствами — зачастую достаточно простой атаки типа HTTP-flood. А вот заведомо защищенные клиенты KDP чаще всего подвергаются сложным комбинированным атакам.

Усилия провайдеров Рунета изначально были направлены, прежде всего, на очистку каналов от мусорного трафика, многие ISP использовали для этого специализированные решения. Эти решения хорошо боролись с мусорным трафиком в канале, но практически не замечали аномалии на уровне приложений. Поэтому в Рунете преобладали DDoS-атаки уровня приложений (пятого уровня) и атаки, реализуемые в том числе с помощью таких инструментов, как LOIC, HOIC и т.д. В отличие от атак третьего-четвертого уровней, атаки уровня приложений не требуют больших размеров атакующего ботнета и надежно «укладывают» атакуемый ресурс, оставаясь практически незаметным для специализированного оборудования, установленного у провайдера. В результате владелец типичного сайта, подвергавшийся такой атаке, оставался один на один с угрозой.

В то же время росла монетизация интернет-ресурсов, соответственно, увеличивались и потери бизнеса от успешных DDoS-атак. Уже в 2011-2012 годах проблема DDoS в Рунете стала не просто насущной — она стала накладной.

Выполняя атаку комбинированного типа, злоумышленник добивается того, чтобы IT-службы как провайдера, так и владельца сайта, были вынуждены решать задачу со множеством неизвестных: разобраться в том, какой трафик является полезным, а какой мусорным, в случае комбинированной атаки очень нелегко. И если сделать этого не удастся, то либо провайдер не сможет эффективно очистить канал и полностью заблокирует маршрут, либо атакуемый сервер будет вынужден блокировать полезный трафик вместе с мусорным, таким образом задачу атакующего можно будет считать успешно выполненной.

Нельзя забывать и о том, что постоянно увеличиваются пропускная способность каналов провайдеров и мощность оборудования, также разрастаются мобильные, беспроводные и домашние сети. А параллельно растут и мощности атак. Атака, которая в Рунете в 2008 году могла создать проблему самому провайдеру, сейчас легко проходит по его каналам, обрушиваясь всей своей мощью на цель. Если же у провайдера возникают проблемы с трафиком, провайдер или хостер вместо борьбы с DDoS-атакой зачастую просто «блекхолит» весь трафик в направлении клиента — по сути, просто выключает маршрут до оборудования клиента. Хотя хостер «спас» других своих клиентов, атакуемый сервер никакого полезного трафика уже не получает — т.е. цель злоумышленников достигнута.

Эволюция сервисов защиты позволила им успешно справляться с атаками с третьего по пятый уровень и обеспечивать нормальное функционирование защищаемых ресурсов даже во время комплексной DDoS-атаки. Сложившаяся к началу 2013 года ситуация заставила злоумышленников обратить внимание на атаки «с плечом» — прежде всего на атаки DNS Amplification, впервые зафиксированные еще в 2002 году. Использование DNS Amplification позволяет полностью заполнить канал провайдера мусорным UDP-трафиком с помощью ресурсов небольшого ботнета. Из-за особенностей протокола UDP (приоритет над TCP), расположение средств защиты на самом канале является неэффективным. Обеспечение эффективной защиты требует от провайдеров тесного взаимодействия с вышестоящими провайдерами и установки оборудования, имеющего возможность гибкой настройки (к примеру, FlowSpec). Иначе провайдер может просто перестать контролировать свои каналы. Впрочем, есть в этом и позитивная составляющая: в таких условиях ISP не стоят в стороне, а вынуждены активно участвовать в противодействии DDoS.

DDoS-статистика по России вполне коррелирует с общемировыми тенденциями. Судя по всему, Рунет перестает быть заповедником, где мощные атаки редки, а интернет-провайдеры и хостеры могут обходиться без интеллектуального контроля трафика. Отличие показателей по DDoS-активности в Рунете от остального мира стремительно сокращается.

Наиболее показательны заказные атаки на хорошо защищенные ресурсы. В таких случаях администраторам ботнетов приходится использовать весь свой арсенал, задействовать самые эффективные методы и тактики DDoS.

Одним из ярких примеров атак первого полугодия 2013 является DDoS-атака на сайт «Новой газеты». Все началась в воскресенье 31 марта 2013 года в 22:00. Атака SYN Flood мощностью до 300 Мб/с была успешно отфильтрована, но к середине дня 1 апреля мощность возросла до 700 Мб/с. Специалисты провайдера предложили перенести сервер в другой сегмент сети, трафик которого проходит через наименее нагруженный ЦОД.

Поскольку сайт под атакой продолжал нормально работать, к 15:00 атакующие сменили тактику, прибегнув к методу DNS Amplification. Внешние каналы провайдера были перегружены мусорным трафиком мощностью 40 Гб/c, что, несмотря на успешную фильтрацию, привело как к недоступности сайта «Новой газеты», так и к проблемам у других клиентов провайдера. Через 25 минут атака внезапно прекратилась.

Передышка продолжалась недолго. 2 апреля в 16:00 атака методом DNS Amplification возобновилась. В результате непродолжительное время сайт «Новой газеты» был недоступен. Мы попытались получить дополнительную пропускную способность, анонсировав атакуемую подсеть через одного из провайдеров, на площадке которого установлено наше оборудование для фильтрации трафика. Однако к успеху это не привело — канал провайдера был также забит мусорным UDP-трафиком объемом более 20 Гб/с, в результате чего ему пришлось отключить (заблекхолить) маршрут. Суммарная мощность атаки в это время превышала 60 Гб/с.

В 19:00 того же дня маршрут до атакуемой подсети был анонсирован в пределах московской точки обмена трафиком MSK-IX. В результате сайт «Новой газеты» стал доступен только из сетей провайдеров, подключенных к MSK-IX напрямую. Таким образом пользователи этих провайдеров получили беспрепятственный доступ к сайту «Новой газеты», а основной трафик атаки до сайта не доходил.

Через некоторое время после успешного отражения DNS Amplification, в 13:05, атакующие поменяли тактику, прибегнув к комбинированной атаке типов RST Flood и HTTP Flood незначительной мощности. Такая атака не представляла для KDP проблемы и на работе сайта «Новой газеты» не сказалась. В 14:40, осознав бесполезность выбранной тактики, атакующие прекратили активность, но лишь на 20 минут — в 15:00 в дело включился другой ботнет, атакуя «Новую газету» методом DNS Amplification. Мощность атаки превышала 5 Гб/c. Эта атака сопровождалась атакой типа SYN Flood мощностью около 3,3 млн. пакетов в секунду, то есть злоумышленники применили комбинированную атаку. В течение получаса атакующие безуспешно пытались «положить» сайт «Новой газеты». В этот раз российские IP-адреса в трафике практически отсутствовали.

Следующие полтора часа профиль атаки менялся каждые 5-6 минут. Атакующие пробовали RST Flood, SYN Flood, ACK Flood, HTTP Flood в разных комбинациях, но весь мусорный трафик оседал на фильтрах центра фильтрации данных. В 17:10 атака на сайт «Новой газеты» прекратилась.

Этот пример иллюстрирует, что ресурс, жестко привязанный к сети хостера и не оснащенный полным спектром средств защиты, не имеет шанса устоять под атакой DNS Amplification ввиду гигантских объемов генерируемого мусорного трафика. Отметим, что завершающий эпизод атаки сайта демонстрирует полную готовность злоумышленников к комбинированным атакам: очевидно, все необходимые для этого инструменты были закуплены, а тактика спланирована заранее. Это доказывает заказной характер атаки на сайт «Новой газеты».

Однако, как отмечают в «Лаборатории Касперского», примеров атак DNS Amplification в этом полугодии множество. Распространение атак типа DNS Amplification и усиление мощности и размаха DDoS-инцидентов позволяет специалистам говорить о смене тенденции: судя по всему, Рунет перестает быть своего рода «заповедником», где мощные атаки были редки, а интернет-провайдеры и хостеры могли обходиться без интеллектуального контроля трафика. Отличие показателей по DDoS-активности в Рунете и в остальном интернет-мире стремительно сокращается.

«В таких условиях компаниям, ведущим свой бизнес в Интернете, может помочь наличие независимой от провайдера сети, подключение своего веб-ресурса к нескольким провайдерам с каналами свыше 10 Гб и наличие квалифицированных специалистов и высококачественного оборудования по фильтрации мощных атак. Наиболее эффективную защиту от мощных атак типа DNS Amplification дает фильтрация UDP-трафика для конкретного IP-адреса на пограничном оборудовании вышестоящего провайдера. Основная сложность здесь состоит в том, что пограничное оборудование многих провайдеров таких функций просто не имеет, поэтому компаниям-клиентам они не доступны. И если при планировании сетей провайдеры не будут учитывать опасность DDoS-атак, ситуация будет лишь ухудшаться: мощности атак будут расти, и мы продолжим наблюдать падение целых провайдерских сетей, хостингов и даже сегментов Интернета», — считает Алексей Афанасьев, руководитель проекта Kaspersky DDoS Prevention «Лаборатории Касперского».

Оставить свой комментарий:

Комментарии по материалу