Новые приоритеты атакующих
Общее количество DDoS-атак за 2024 год почти достигло 2,5 млн и относительно 2023 года выросло на 8,8%. Это наименьший прирост в сравнении с предыдущими годами.
Мы связываем такую динамику, в первую очередь, со сменой фокуса злоумышленников — теперь они сосредоточены не на том, чтобы отправить в адрес жертвы как можно больше DDoS-атак, а на том, чтобы нанести удар в самую уязвимую точку цели, потратив минимум собственных ресурсов.
Атакующие стали тщательнее готовиться, они проводят разведку по открытым данным, а также используют все доступные инструменты, чтобы обнаружить скрытые сервисы жертвы. В рамках одной атаки могут несколько раз изменить ее вектор: направлять вредоносный трафик по нескольким протоколам или по разным поддоменам, IP-адресам внутри сети — так они перебирают механики в надежде, что система защиты не успеет адаптироваться.
Еще одна причина, почему, на наш взгляд, число DDoS-атак в 2023-2024 гг держится практически на одном уровне — снижение интереса злоумышленников непосредственно к проектам под защитой DDoS-Guard. Увидев, что действия не оказывают ожидаемого эффекта на выбранные цели, атакующие уводят трафик. Отчасти это объясняет и то, что почти половина всех атак не длится дольше 20 минут.
Любопытно, что число атак продолжительностью более суток выросло в 40 раз по сравнению с данными 2023 года. На 63% увеличилась и медианная длительность атак.
Несмотря на то, что злоумышленники действительно порой сдаются быстро, под нашей защитой есть ряд клиентов, которых атакуют каждый день. Возможно, таким образом рассчитывают истощить систему защиты или найти подход, против которого мы еще не применили контрмеры. Однако все это бесполезно — у DDoS-Guard достаточно ресурсов, чтобы справиться с высокой нагрузкой, и алгоритмы фильтрации мы обновляем регулярно с учетом актуальных механик.
Новые рекорды мощности
Пиковый объем одной из атак в начале 2024 года достиг 350 млн пакетов в секунду (PPS). В 2021 году такой объем считался рекордным для всего Интернета, сегодня это уже часть повседневности.
Тенденция к увеличению медианной продолжительности атак также говорит в пользу более конкретизированного выборе цели и сосредоточении большего количества атакующих ресурсов на ней. Другими словами, если раньше мы видели множество краткосрочных всплесков (один из примеров на графике ниже), теперь же они стали более длительными, но не менее мощными.
Типичный вредоносный трафик превышает даже пиковые показатели прошлых лет. Сами атаки стали более распределенными по источнику возникновения, и большинство из них идут с зараженных IoT-устройств.
Развитие ботнетов приводит к тому, что в рамках одной атаки может участвовать почти миллион уникальных IP-адресов. Это сопоставимо с количеством IP, которые используют такие страны, как Кипр, Исландия или Оман.
Исследователи кибербезопасности регулярно сталкиваются с новыми ботнетами. Исходя из текущих тенденций, можно предположить, что уже в течение ближайшего года-двух количество зараженных устройств, составляющих ботнеты, вырастет на 1000%. Среди наиболее уязвимых — камеры видеонаблюдения, маршрутизаторы Mikrotik и разнообразная «умная» техника.
В августе 2024 года специалисты Akamai обнаружили уязвимость нулевого дня в камерах видеонаблюдения, созданных тайваньской компанией AVTECH. Эта ошибка может быть использована злоумышленниками для заражения всей техники AVTECH и включения ее в один из крупнейших ботнетов в мире Mirai.
Система защиты DDoS-Guard готова справиться с ростом числа и мощности атак, с новыми ботнетами и паттернами. В октябре 2024 года в DDoS-Guard успешно отразили крупнейшую атаку в своей истории, скорость ее составила 2,46 терабит в секунду.
Особые тактики DDoS-атак в 2024 году
Обход геоблокировки
Злоумышленники, которые совершают DDoS-атаки, научились эффективно обходить геоблокировки. Для этого они частично или полностью генерируют вредоносный трафик на территории, где расположен атакуемый ресурс.
Хакеры арендуют облачные и физические серверы у разных провайдеров, а затем уже из них выбирают для атаки тот, IP-адреса которого не попадают под блокировку веб-ресурса по геопризнаку.
Напомним, что геоблокировка не является эффективным средством защиты от DDoS, а лишь дополнительным инструментом для управления доступом к защищаемому ресурсу, который подключается по желанию клиента.
Атаки на несуществующие домены
В прошлом квартале мы наблюдали множество DDoS-атак на поддомены: злоумышленник совершает запросы не к example.com, а, например, к sub1.example.com, sub2.example.com, и так далее. Причем необязательно такие поддомены должны существовать.
Теперь же данная техника трансформировалась и своей целью выбирает клиентские сети, в которых применяются правила полного перехвата трафика для защиты на уровне L7 OSI.
При полном перехвате весь TCP-трафик клиента, направленный на 80 и 443 порты, перенаправляется на проксирующие серверы DDoS-Guard, где подвергается дополнительному анализу. Если трафик выглядит подозрительно, система проводит дополнительные проверки — один из сценариев включает необходимость пользователю пройти капчу. Использование капчи в защите от DDoS-атак позволяет избежать блокировок реальных пользователей.
Согласно новой технике, атакующему достаточно указать в качестве точки назначения protected ip (защищаемый IP-адрес), а в качестве host (это обязательный заголовок в HTTP-запросе) указать любое доменное имя. Это усложняет процесс защиты, так как системе приходится принимать во внимание большое количество доменов при детектировании атаки.
Специалисты DDoS-Guard разработали решение, которое отслеживает аномалии такого плана и в индивидуальном порядке генерирует специальный временный фильтр для блокировки вредоносных запросов.
Система получила название "Watch Dog". Она анализирует число уникальных доменов в каждый интервал времени по IP-адресу назначения (dst ip). При достижении порогового значения срабатывает фильтр, который действует меньше минуты, чтобы исключить ложно-положительные срабатывания. Если время фильтра истекло, а атака продолжается, фильтр автоматически перезапускается.
Так как данные атаки происходят не слишком часто, мы настроили систему оповещения, чтобы в случае необходимости быстро подключить специалиста для дополнительного мониторинга и корректировки. Хотя система "Watch Dog" запущена лишь несколько месяцев назад, автоматические фильтры срабатывают корректно, не требуя ручного вмешательства.
Приведем пример по иллюстрации выше. 2 июня 2024 на один из IP-адресов под нашей защитой (в данном контексте фигурирует как dst ip) пришлось в определенный момент — в 22:48 — больше 9 000 доменов, а в сумме за 5 секунд уже 22 617 доменов. Для нас это очевидно аномальное явление. В тот момент фильтр отработал успешно, и видно на графике, что после 22:48 таких аномалий более не было.
Атаки по протоколам GRE
Команда мониторинга и реагирования на сетевые инциденты DDoS-Guard отмечает, что DDoS-атаки по протоколу GRE стали встречаться все чаще. Яркий пример — на графике ниже.
Вначале мы видим почти равномерные всплески вредоносного трафика по протоколу TCP (фиолетово-голубой график), затем в течение пары минут вектор меняется. И теперь массивный атакующий поток направляется уже по GRE (оранжевый график), достигая на пике почти 600 гигабит в секунду. Такой объем для среднестатистической компании, которая не использует защиту от DDoS, может означать полную блокировку со стороны хостера или локального провайдера связи и/или счет на крупную сумму за превышение предоплаченной полосы трафика.
DDoS-атаки по отраслям
Цикличность атак продолжает затрагивать финансовый сектор и телеком. С 2023 года наблюдали периодические всплески вредоносной активности в адрес операторов связи, и уже во втором квартале 2024 они отразились на работе их сервисов практически в каждом регионе России.
Атаки на региональных операторов связи
Как представители данного сегмента, мы действительно наблюдаем повышенный интерес злоумышленников: ниже тепловая карта атак на одного из наших клиентов, который предоставляет услуги связи. Как видно, яркие «вспышки» стали случаться все чаще уже весной, и к лету значительно увеличилась плотность DDoS-атак. Чем больше ячеек на тепловой карте закрашено — тем больше атак; чем ярче — тем они мощнее.
Отдельным «флангом» остаются маломощные, но длительные атаки, нацеленные также на инфраструктуру региональных интернет-провайдеров. Небольшие компании редко обладают избыточным запасом ресурсов для поглощения атаки, поэтому даже 200 Гбит/с сверх «нормы» могут вызвать массовые сбои в работе в сети всех абонентов.
Атаки на облачных провайдеров
В течение 2024 года мы наблюдали несколько значительных атак на облачных провайдеров. Один из ярких примеров — на графике ниже. Отчетливо видно, что вектор быстро изменился: первая волна ударила по UDP, вторая — по TCP, при этом переключение произошло резко и мгновенно, так же как и завершение самой атаки.
Такие инциденты порождают риски деградации производительности всего облака, что затрагивает всех клиентов облачного сервиса, ставшего целью. Конечный пользователь в такой ситуации не может сделать ничего, так как защиту должен обеспечивать сам облачный провайдер. Клиенты облачных сервисов иногда предпочитают самостоятельно приобрести защиту от DDoS, однако, если атака идёт на самого облачного провайдера, то наличие защиты у конкретного клиента данного сервиса никак ему не поможет.
DDoS-атаки не приходят по заранее объявленному расписанию. Они приходят внезапно, и их мощность заранее неизвестна, поэтому невозможно предположить, сколько нужно ресурсов в классическом облаке, чтобы эту волну пережить. Мощность может варьироваться на порядки от атаки к атаке. Специализированные провайдеры защиты учитывают эту специфику и выстраивают свои услуги соответственно.
Атаки на финансовый сектор
Эпизодический интерес атакующие проявили к здравоохранению, игровой индустрии и букмекерским сервисам. Однако наиболее заметными снова стали атаки на финансовый сектор. Основная их масса пришлась на лето 2024 года.
При взгляде со стороны может создаваться впечатление, будто атакующие переходят от одного банка к другому как по цепочке. Однако это не совсем так: тут скорее происходит параллельный удар сразу по всей сфере, иногда «цепляющий» смежные сферы.
Делается это для большего ущерба, медийности и заметности. Информация о будущих жертвах собирается заранее, затем в час X под атакой оказываются сразу все они.
Нестабильно работающие сайты и приложения сразу нескольких банков в течение 2-3 дней — гораздо более заметное явление, чем полностью выведенный из строя вчера банк «А», сегодня банк «Б», а завтра банк «В»” — о том, как были организованы атаки на банки, подробно рассказали в статье на Хабре.
Итоговые выводы и прогнозы
В 2024 году практически все регионы России пострадали от вредоносной активности злоумышленников. Массово были затронуты сервисы операторов связи и финансовый сектор.
Бот-трафик продолжает усиливаться, что подтверждают новости о новых рекордах по мощности и объемам DDoS-атак, как на российские, так и международные компании.
Больше всего атак пришлось на веб-приложения. Специалисты стабильно фиксируют многократный рост DDoS на уровень L7 с 2019 года. Сетевые атаки не так популярны, однако среди них выделяется новый тренд — DDoS-атаки по протоколу GRE.
Несомненно будет продолжать расти сложность, многовекторность и мощность атак. Простые атаки типичным вредоносным трафиком на основной домен сервиса уже не так эффективны, поэтому злоумышленники придумывают все более изощренные механики, чтобы достичь своей цели.
Мы ожидаем, что еще какое-то время в тренде будут маломощные непрерывные атаки длительностью в несколько дней или месяцев без перерыва. С их помощью атакующие в том числе наносят вред ресурсам, которые подключают облачную защиту по запросу (On-Demand), где стоимость услуг рассчитывается только за время работы защиты.
Актуальные технологические решения DDoS-Guard помогут адаптироваться и быть готовыми к атакам на сетевую инфраструктуру и веб-ресурсы. Подключайте профессиональную защиту и формируйте киберграмотность — читайте новости и следите за последними тенденциями в сфере кибербезопасности. Актуальный отчет о DDoS-атаках за 2024 год уже доступен на сайте.
