+7 (800) 333-17-63

Мощность DDoS-атак: в чем измеряется и как определить

DDoS-атак становится больше с каждым днем. Они сильно отличаются не только по продолжительности, но и по мощности. В чем измеряется эта мощность — читайте в новом материале DDoS-Guard.

Обложка статьи: мощность DDoS-атак

Ключевые характеристики атак типа «отказ в обслуживании» — мощность, частота и продолжительность. Именно мощность является наиболее важным фактором для атакуемой инфраструктуры — ведь атаки, которые переполнят доступные каналы связи, выведут систему из строя.

Мощность DDoS-атаки определяется на основании нескольких параметров:

  • Объем — измеряется в битах в секунду (BPS)
  • Скорость — измеряется в пакетах в секунду (PPS)
  • Количество запросов в секунду — (RPS).

Рассмотрим каждый из этих показателей подробнее.

 

Объем — BPS

Когда говорят о размере DDoS-атаки, обычно имеют в виду ее объем. Он измеряется в битах в секунду (bps), в мегабитах в секунду (Mbps), а в последние годы часто и в сотнях гигабит (Gbps).

В 2022 году наибольший рост показали атаки в диапазоне 500-Мбит/с — 1 Гбит/с, однако крупные атаки в 100 Гбит/с и больше также стали происходить чаще. Согласно статистике NETSCOUT за январь 2023 года, по объему большинство DDoS-атак находились в диапазонах 100 Mbps – 1 Gbps и 1 Gbps – 10 Gbps.

График распределения DDoS-атак по объему - NETSCOUT Threat Horizon
Распределение DDoS-атак по объему за январь 2023 года. Источник: NETSCOUT Omnis Threat Horizon

Объемные (волюметрические) атаки нацелены на то, чтобы переполнить полосы пропускания. В эту категорию входит ряд различных видов флудов — UDP, ICMP и другие потоки сфальсифицированных пакетов.

Бороться с волюметрическим атаками рекомендуется с помощью внешней защиты, состоящей из сети узлов фильтрации трафика, которая может быть масштабирована по запросу.

 

Скорость — PPS

Скорость атаки обозначает, какое количество пакетов в секунду (pps) передает организатор DDoS-атаки в сеть жертвы. В таких единицах измеряют атаки сетевого уровня. Чем больше атакующих пакетов передается в момент, тем быстрее перегружаются каналы связи цели, и тем больше шансов, что сайт выйдет из строя. Большинство атак имеют сравнительно невысокую скорость, один миллион пакетов в секунду и меньше, однако для сайтов без защиты и этого может быть вполне достаточно, чтобы выйти из строя.

Согласно статистике NETSCOUT за январь 2023 года, по скорости большинство DDoS-атак находились в диапазонах 10 kpps – 100 kpps и 100 kpps – 1 Mpps.

График распределения DDoS-атак по скорости - NETSCOUT Threat Horizon
Распределение DDoS-атак по скорости за январь 2023 года. Источник: NETSCOUT Omnis Threat Horizon

Наиболее эффективный способ борьбы с атаками на сетевой уровень, особенно мощными, — фильтрация входящего трафика на уровне дата-центра, либо подключение внешней защиты от DDoS на уровнях L3-L4. Вредоносные запросы блокируются, а полезный трафик (настоящие пользователи) сможет без проблем попасть на сайт.

 

Количество запросов — RPS

Количество запросов в секунду (rps) определяет число обращений к серверу. У любого оборудования есть предел по числу обрабатываемых запросов, поэтому их аномальное количество может вызвать сбой. В случае рекордных киберинцидентов, количество запросов доходило до десятков миллионов.

В rps измеряют атаки на прикладном уровне (L7 по системе OSI), которые нацелены на исчерпание ресурсов сервера и вывод из строя веб-приложения через повторяющиеся типовые запросы к базе данных, памяти или диску.

Рядовая DDoS-атака может измеряться тысячами и десятками тысяч запросов. Среднее количество запросов в секунду во время такой атаки, по данным DDoS-Guard на январь 2023 года, составляло 10-20 с одного адреса. Важно отметить, что для сайтов с низкой нагрузкой даже атака в 10 rps может вызвать сбои в работе, тем более, что маломощность атак компенсируется их повышенной частотой.

Во время самой мощной атаки, зарегистрированной DDoS-Guard в январе 2023, фиксировалось почти 60 тысяч запросов в секунду.

Настройка параметров на стороне сайта — например, ограничение по числу запросов с одного IP — может быть временным решением, однако есть риск ухудшения пользовательского опыта из-за того, что настоящих посетителей система примет за ботов.

Для борьбы с атаками на уровне приложений используется мониторинг поведения посетителей сайта. Известные паттерны ботов распознаются и блокируются, а подозрительные посетители проверяются повторно и, при необходимости, подтверждают, что они — люди, через технологию CAPTCHA.

 

Как определить силу DDoS-атаки

Объективно определить силу прошедшей атаки может быть затруднительно. Например, если предельная емкость сети 100 Гбит/с и оборудование вышло из строя — сходу сложно определить, была ли это атака объемом 150 Гбит/с или 1 Тбит/с. Будет известно только то, что она превысила ваши ресурсы.

Замерить объем атаки можно по восходящим потокам (upstream) атакуемой сети. Если часть атакующего трафика была отфильтрована в процессе, расчет точного размера атаки может быть еще более сложным.

К зафиксированному объему нужно добавить и другие характеристики атаки — скорость и число запросов.

 

Какое значение мощность атаки имеет при защите от DDoS

Если вы уже подвергались DDoS-атаке в прошлом или подвергаетесь им регулярно, необходимо измерить характеристики атакующего трафика, чтобы сделать вывод о том, какой масштаб имеет проблема. Объем, скорость, количество — необходимый минимум, чтобы составить мнение, нужна ли вашему сайту профессиональная внешняя защита. Если атаки пока не слишком сильны, возможно, будет достаточно автономной системы фильтрации.

Важна именно совокупность всех показателей. Вы должны быть готовы встретить не только определенный объем атаки, но и учесть другие ее характеристики, которые могут сделать ситуацию еще более серьезной.

 


Если вы подвергаетесь DDoS-атаке такой мощности, с которой своими силами справиться не в состоянии — подключите профессиональную внешнюю защиту. Такой сервис будет фильтровать поступающий трафик, отделяя вредоносные запросы от легитимных.

Даже не слишком сильные кибератаки — все равно повод задуматься о приобретении внешней защиты. Если нападения в принципе происходят, набор ими критической массы может быть только делом времени. Статистика показывает, что с каждым годом количество DDoS-атак увеличивается, и в 2023-м году ожидается новый прирост таких инцидентов.

Читайте в телеграм-канале DDoS-Guard

Анонсы, статьи, истории и советы по кибербезопасности. Каждый месяц собираем дайджест о самых громких событиях

Подписаться