Эксперты DDoS-Guard впервые столкнулись с подобным типом атаки в 2024 году — за 5 секунд было атаковано 22 617 доменов, однако угрозы удалось избежать благодаря быстрой реакции экспертов и умным фильтрам защиты. После этого инцидента команда DDoS-Guard оперативно разработала новое решение, которое борется с ковровыми атаками — Watch Dog. В отличие от более привычных методов организации DDoS, ковровые атаки направлены не на один узел, а на всю подсеть, что делает их более разрушительными и при этом трудно обнаруживаемыми. В 2024 году количество таких атак составляло 75% от общего числа всех DDoS-атак, согласно исследованию Vercara. В том же 2024, Центр кибербезопасности зафиксировал атаку, которая затронула более 16 000 IP-адресов.
Что такое ковровая DDoS-атака
Ковровая DDoS-атака представляет собой распределенную атаку, при которой вредоносный трафик равномерно рассеивается по множеству IP-адресов в одной сети или подсети, например, /24. Такая стратегия позволяет обойти классические системы обнаружения, которые фиксируют перегрузку одного целевого IP-адреса. В результате вся подсеть оказывается перегруженной, несмотря на то, что на каждый отдельный адрес приходится относительно небольшой объем трафика.
Специалисты SOC отмечают, что в отличие от классических атак уровня L7, где анализируется активность отдельного домена, нагрузка ковровых DDoS распределяется по множеству хостов. Например, при 100 хостах и 100 запросах на каждый — в сумме выходит 10 000 запросов, бьющих по всей инфраструктуре.
Механизм и особенности ковровых атак
Одна из ключевых особенностей — атаки направлены не на конкретного клиента, а на провайдера защиты — с целью вызвать сбои в работе всей инфраструктуры. Хакер может заранее знать или предполагать, на какой защите находится клиент, и тестировать ее на прочность. Если раньше злоумышленники атаковали поддомены защищенного домена, то теперь атакующему достаточно указать IP-адрес и в HTTP-запросе задать любое имя в заголовке Host — даже если такой домен или поддомен не существует. Эта техника позволяет позволяет обойти классическую фильтрацию по доменам, усложняет аналитику трафика на стороне защиты и нагружает всю инфраструктуру провайдера.
Чаще всего ковровые атаки комбинируют с другими типами многовекторных атак и используют:
- UDP-усиление через службы, такие как DNS, NTP, SSDP или Memcached;
- TCP-флуд с подделкой исходных IP-адресов;
- Маскировку трафика под легитимный.
Еще одна особенность ковровых атак в том, что они короткие по времени (иногда менее 3 минут), но достаточно частые. Так, в июне 2023 года в сети одного европейского провайдера фиксировалось до 400 таких атак в сутки, по данным исследования NetScout.
Объясняем на кофе и шаурме
Если вам до сих пор сложно понять, в чем отличие «привычных» DDoS от ковровых, этот пример для вас. Представьте, что вы владелец небольшого павильона с кофе. Обычные DDoS-атаки — это когда к вам выстроилась толпа недоброжелателей, которые имитируют покупателей, что мешает и бармену, и реальным покупателям, которые томятся в ожидании стаканчика капучино. Ковровая DDoS — это полностью забитая людьми улица, и там страдает не только ваш киоск с кофе, но и соседняя лавочка с шаурмой, и магазин с овощами, и аптека — все парализовано. Итак, цель обычных или таргетированных DDoS-атак — выключить конкретную систему или сайт. Цель же ковровых атак — создать массовый хаос. Атаковать не сайт X, а все IP от X до X+300.
Почему ковровые DDoS-бомбардировки сложно обнаружить
Классические решения, основанные на мониторинге пикового трафика на одном IP, оказываются неэффективными. При ковровой атаке каждый IP получает лишь малую часть общего трафика, и атака не вызывает пороговых срабатываний на большинстве межсетевых экранов и автоматических анти-DDoS решений. Кроме того, атака может происходить параллельно на десятки подсетей, делая ее обнаружение еще более сложной задачей.
Как мы упоминали ранее, большинство ковровых DDoS-атак кратковременны — не более одной минуты. Исследователи связывают это с желанием атакующих остаться незамеченными, а также с особенностями рынка DDoS-услуг «на заказ». Некоторые сервисы для стресс-тестов позволяют недорого, а иногда даже бесплатно, атаковать одну цель. Однако возможность одновременно атаковать сразу несколько IP-адресов обычно требует дополнительных затрат. Поэтому более продолжительные атаки, скорее всего, проводятся опытными злоумышленниками, а не недоброжелателями, которые просто хотят временно отключить свою жертву или поразвлечься.
Последствия ковровых атак
Исходя из того, что сервисы телеком одни из самых популярных целей для злоумышленников, их вывод из строя может иметь серьезный резонанс. Среди клиентов крупных провайдеров находятся банки, маркетплейсы, службы доставки, медицинские учреждения и другие социально важные сервисы. Их временная недоступность может парализовать деятельность целых отраслей, затронув тысячи или даже миллионы пользователей. Помимо этого сбои в работе провайдеров — это недоступность связи и интернета, что в современном обществе серьезно влияет на качество жизни даже на незначительные промежутки времени.
Примером подобной ситуации стал инцидент с «Мегафоном» в мае 2024 года. Согласно сообщению компании и информации Forbes, причиной масштабного сбоя стала целенаправленная политически мотивированная DDoS-атака на сетевую инфраструктуру. В результате были зафиксированы перебои в работе мобильного интернета и голосовой связи в нескольких регионах России. Атака сопровождалась перегрузкой ключевых сетевых узлов, из-за чего пострадали как частные пользователи, так и корпоративные клиенты оператора.
Если вы находитесь на этапе выбора провайдера защиты, рекомендуем задать ему несколько вопросов, которые помогут получить расширенную информацию по услугам безопасности, а также эффективно выстроить будущее взаимодействие.
Методы защиты от ковровых DDoS-атак
Одна из главных рекомендаций специалистов DDoS-Guard — это мониторинг всей сети для понимания и изучения трафика, его аномалий и критических пороговых значений. Помимо этого, эффективная защита невозможна без комплексного подхода:
- Профессиональный сервис защиты должен уметь анализировать поведение трафика не только по отдельным IP, а на уровне сетевых блоков.
- Важно использовать машинное обучение и поведенческие модели, которые помогут выявлять аномалии, не попадающие под классические шаблоны атак.
- Важно использовать решения, поддерживающие BGP Flowspec и RTBH (Remote Triggered Black Hole), чтобы блокировать вредоносный трафик на уровне провайдера.
- Важно проводить регулярное тестирование системы на устойчивость к кибератакам и разработать план реагирования на инциденты.
Заключение
Тактика ковровых атак демонстрирует смещение фокуса атакующих с точечных воздействий на масштабные, распределенные по всей сети атаки, что существенно усложняет их обнаружение и нейтрализацию. Новые аналитические отчеты ведущих игроков рынка кибербезопасности фиксируют устойчивый рост ковровых DDoS-атак, направленных на инфраструктуру крупных телекоммуникационных компаний.
Говорить о том, станет ли этот вектор нормой или лишь дополнит классические схемы DDoS-воздействий, пока преждевременно. Однако уже очевидно: традиционные методы защиты не справляются с новыми вызовами. Необходимы адаптивные, гибкие и интеллектуальные решения, способные в реальном времени анализировать трафик, выявлять аномалии на ранней стадии и автоматически масштабироваться под характер угрозы.
Практика показывает, что ставка исключительно на внутренние ресурсы и штатных специалистов — недостаточна. Эффективное противодействие современным DDoS-атакам требует привлечения специализированных сервисов и технологий, способных обеспечить как активную фильтрацию трафика, так и комплексную защиту цифровой инфраструктуры.
Мы рекомендуем организациям пересмотреть текущие стратегии кибербезопасности: внедрять многоуровневые системы мониторинга, развивать сценарии быстрого реагирования и регулярно проводить стресс-тестирование защиты. Только проактивный подход и готовность к непрерывной эволюции угроз позволяют минимизировать риски, сохранить непрерывность бизнес-процессов и обеспечить устойчивость критически важных сервисов.
Таблица-сравнение: в чем отличие ковровых атак от таргетированных DDoS
| Критерий | Ковровая DDoS-атака | Таргетированная DDoS-атака |
| Цель атаки | Вся подсеть или множество IP (например, /24) | Один конкретный IP-адрес или сервис |
| Распределение трафика | Равномерное по нескольким IP | Один конкретный IP-адрес или сервис |
| Обнаружение | Сложнее — низкий трафик на каждый IP | Проще — резкий всплеск трафика на одну цель |
| Обход защитных систем | Эффективно обходит пороговые фильтры | Чаще блокируется классическими анти-DDoS средствами |
| Нагрузка на инфраструктуру | Перегружает маршрутизаторы, фаерволы, балансировщики | Перегружает конкретный сервер или узел |
| Типичная продолжительность | Кратковременные, но частые (от секунд до минут) | Может длиться часами или днями |
| Сложность атаки | Более сложная координация и генерация распределения | Простая направленная атака |
| Тип атакующего трафика | Часто — UDP-амплификация или TCP-флуд по диапазону | Любой тип |
| Обнаружение в анализе логов | Обнаружение в анализе логов Аномальное поведение на уровне подсети | Явный всплеск по одному IP |
