2017/02/15 15:34:28

DDoS-атака

Distributed Denial of Service - DDoS-атака - поток ложных запросов, который пытается блокировать выбранный ресурс либо путем атаки на канал связи, который "забивается" огромной массой бесполезных данных, либо атакой непосредственно на сервер, обслуживающий данный ресурс. Такие действия используются в целях конкурентной борьбы, прямого шантажа компаний, а также для отвлечения внимания системных администраторов от иных противоправных действий.

Содержание


Распределенные атаки типа "отказ от обслуживания" (distributed denial-of-service, DDoS) впервые появились в новостях в декабре 1999 года; и этот случай был связан с системой trin00, основанной на использовании ботнета. Эти атаки сегодня эволюционируют, но принцип остался прежним: сотни и тысячи географически распределенных хостов начинают бомбардировать пустыми запросами сервера, после чего последние начинают испытывать перегрузку и не могут своевременно обрабатывать легитимные запросы. Все это время производители пытаются разработать продукты, которые эффективно противостоят DDoS.

Атаки DoS и DDoS часто встречаются в мире интернет-безопасности. Во-первых, они не направлены на уязвимости, которые могут быть исправлены; во-вторых, каждый отдельный пакет является вполне легитимным — лишь их совокупность приводит к разрушительным последствиям, и, в-третьих, такие атаки носят продолжительный характер – они длятся несколько часов или дней, вместо нескольких секунд или минут.

В течение многих лет атакам DoS и DDoS не уделяли должного внимания, поскольку они считались нишевыми. Ситуация резко изменилась в 2011 году, когда группа Anonymous выбрала DoS/DDoS-атаки в качестве основного метода нападения. Воодушевленная мощностью и разрушительными последствиями такой атаки, группа Anonymous превратила ее в основной метод борьбы, привлекая к нему внимание не только сообщества специалистов по безопасности, но и широкой публики. Несмотря на то, что активность группы снизилась в 2012 году, она заложила основу для дальнейшего развития данного типа атак. Многие группы хакеров начали использовать DoS/DDoS – хактивисты, финансово мотивированные преступные организаций и даже правительственные структуры заинтересовались открывающимися возможностями.

Виды DDoS-атак

  • Ошибки в программном коде, для эксплуатации которых применяются специальные эксплойты – программы, или фрагменты кода, использующие уязвимости в ПО, в ходе атаки. WinNuke и Ping of death – примеры эксплойтов, неспособных установить контроль над системой врага, но успешно осуществляющих ddos-атаку.
  • «Недопроверка» пользовательских данных - приводит к повышенному длительному потреблению ресурсов процессора, либо к выделению большого объёма оперативной памяти (вплоть до исчерпания процессорных ресурсов и доступной памяти).
  • Флуд (от англ. flood —«переполнение») — большое количество бессистемных и бессмысленных вопросов к системе с целью вывести ее из строя (причины - исчерпания ресурсов системы: памяти, процессора или каналов связи).
  • Атака второго рода — вызывает ложное срабатывание системы защиты и приводит к недоступности ресурса.

По прогнозам аналитиков Gartner, в 2013 году до 25% распределенных атак с отказом в обслуживании будет нацелено на конкретные приложения. С помощью целевых DDoS-атак и социальной инженерии мошенники пытаются проникнуть в банковские системы, предупреждают аналитики.

Первые подобные атаки против банков были отмечены в США во второй половине 2012 года. Через каналы Интернет на банковские сайты иногда направлялось в секунду до 70 гигабит шумового трафика. До сих пор большинство атак на уровне сети поглощало не более пяти гигабит в секунду. Переход на уровень приложений и повышение интенсивности атак приводило к полной невозможности использования сайтов.

Но основной задачей DDoS-атак, по мнению аналитиков, является отвлечение внимания служб безопасности банков. В отчете Gartner приводятся примеры того, как мошенники входят в доверие к клиентам банков, представляясь сотрудниками полиции или служащими банка, которым поручено помочь клиенту перейти на новый счет.

Аналитики рекомендуют внедрение многоуровневых технологий защиты от DDoS-атак, предотвращения мошенничества и удостоверения личности.

Теоретические основы

Тенденции развития инструментов атаки

DDoS – «Сделай сам»

Инструменты для организации DDoS-атак превратилась в предмет торговли. Конечно, их еще нельзя найти в свободной продаже в интернет-магазинах, но на нелегальных сайтах можно найти огромное количество различных вариантов – пакеты инструментов DDoS, прайс-листы и даже услуги организации DDoS-атак. Доступность таких DDoS пакетов снизила требования к организации сетевых атак и атак на приложения. Любой желающий, от частных лиц до криминальных киберорганизаций, может легко настроить ботнет для запуска атаки.

Пакеты инструментов для DDoS-атак

Пакеты инструментов, для использования которых не требуется писать код или быть опытным хакером, позволяют новичкам легко настроить ботнет. Пакет инструментов для DDoS-атак представляют собой пакет ПО, состоящего из двух компонентов - конструктора ботов и сервера управления.

  • Bot Builder - инструмент для пошагового создания ботов с графическим интерфейсом, который позволяет атакующему создать исполняемый файл (бот), распространяемый на компьютеры, которые будут являться частью ботнета. Созданный бот содержит адрес сервера управления, с которым он может обмениваться данными.
  • Центр управления (Command and Control, C&C) - представляет собой страницу администратора, которая используется злоумышленником для отслеживания состояния ботов и отправления команд.

Сразу после установки C&C и подготовки исполняемого бота, злоумышленник должен передать бот как можно большему количеству других компьютеров, которые станут частью ботнета, используя общедоступные методы, такие как социальная инженерия и атаки для попутной загрузки, когда веб-браузер, будь это Internet Explorer или Chrome, используется для того, чтобы обманным образом побудить пользователя загрузить и запустить вредоносное ПО. Как только армия ботов достигает нужных размеров, можно запускать атаку.

Как любые профессиональные разработчики ПО, разработчики инструментов для DDoS-атак совершенствуют свои продукты и выпускают новые версии, которые затем публикуются и продаются. В мире нелегального ПО большинство таких пакетов представляют собой версии других ботов, исполняемые файлы и/или исходный код которых был изменен и переименован. Группа инструментов, произведенных от общего источника, обычно называется «семейством».

DDoS-атаки на заказ

Распространенность DDoS-программ способствовала также появлению услуг заказных DDoS-атак. Преступные киберорганизации пользуются простотой применения пакетов для DDoS, чтобы на различных нелегальных форумах предлагать услуги выполнения таких атак.

Типичный «бизнес-сценарий» заказа DDoS-атаки может включать такие предложения, как «вывести из строя веб-сайт конкурентов» или, наоборот, применить вымогательство типа «заплатите нам за то, чтобы мы не выводили из строя ваш сайт».

На что нацелена DDos-атака

Чтобы эффективно защититься от ddos-атак, необходимо разграничивать потенциальные опасности. В зависимости от объекта атаки:

  • Ресурсоемкие пакеты с поддельными адресами «забивают» каналы связи, что усложняет или блокирует доступ на сайт легитимных пользователей. Широкая пропускная способность каналов связи поможет защититься от атак этого типа.
  • Если атаке подвергаются ресурсы системы, то ее производительность снижается, в результате чего система работает медленно или зависает. Атакующим прекрасно известно, какие пакеты данных нужно отправить компьютеру-жертве для загрузки.
  • Уязвимости ПО использует разрушающая атака, которая может изменить конфигурацию и параметры системы. Любые несанкционированные изменения должны отслеживаться и устраняться. Свой скрипт защиты от ddos применятеся в каждом отдельном случае.

Уязвимыми элементами являются сервер, межсетевой экран и канал интернет

  • Серверы являются уязвимыми по той простой причине, что злоумышленники часто организуют свои атаки таким образом, чтобы они потребляли больше ресурсов, чем те, которыми обладает сервер.
  • Интернет-канал становится уязвимым для атак, которые нацелены на истощение пропускной способности, и называются «объемный флуд». К таким атакам относятся UDP-флуд или TCP-флуд, потребляющие много пропускной способности канала.
  • Несмотря на то, что межсетевой экран является инструментом обеспечения безопасности и не должен служить уязвимым местом для DoS/DDoS-атаки, во время проведения таких атак, как SYN-флуд, UDP-флуд и переполнение соединения, злоумышленники могут генерировать многие состояния, что истощают ресурсы межсетевого экрана до тех пор, пока он сам не становится слабым местом инфраструктуры

Атаки на CDN

Атака на сайт

Цель одна – «подвесить» систему, вывести Ваш сайт из строя. Конкуренты на рынке разбираются друг с другом с помощью профессиональных хакеров. Существует даже так называемый ddos-бизнес. Защита от ddos-атак в таких условиях просто необходима. В свое время ddos-атакам подвергались, например, сайт газеты «Коммерсантъ», радиостанции «Эхо Москвы» и даже сайт Кремля, также часто жертвами становятся сайты банков и интернет-магазины. В зависимости от сезона атакуются разные сайты.

Обычной практикой становится превентивная защита от DDoS-атак. Как сообщают наши эксперты, многие компании, сталкивавшиеся в прошлом с атаками, встают на защиту от кибератак еще за месяц до начала "высокого" для своего бизнеса сезона.

Защита должна быть активирована на всех уровнях:

  • Провайдер может предоставить базовую защиту. Также мы советуем приобретать хостинг с защитой от ddos. Это многоуровневая система, которая защитит Ваш сайт от атаки.
  • Защититься от ddos-атак на уровне сети поможет межсетевой экран и файрвол. При ddos-атаке на сервер это поможет распознать угрозу и выиграть время для защиты, а небольшая атака может быть остановлена и этими средствами.
  • Важно использовать актуальное оборудование, что поможет защититься от ddos на уровне hardware. Также необходимо следить за тем, чтобы программное обеспечение не имело ошибок и уязвимостей.

Пример ответной реакции на DDoS-атаку

В таблице приводится сравнение типичного понимания атаки и действий, которые предпринимаются в условиях ограниченности ресурсов, по сравнению с другой реакцией, основанной на более обширной базе знаний и более глубоком анализе.

Image:Пример ответной реакции на DDoS-атаку.jpeg

Проблема HTTPS

Есть два допущения в отношении борьбы с DoS/DDoS-атаками. Во-первых, требуется остановить атаку как можно раньше, прежде чем она проникнет глубоко в сеть. Во-вторых, что является более очевидным, требуется проверять весь трафик. Этого нелегко добиться при атаках, основанных на использовании протокола HTTPS.

Команда ERT столкнулась с возросшим количеством просьб о помощи в борьбе с HTTPS- атаками. Удивительно, что такие атаки раньше не так часто использовались, однако теперь ожидается резкий рост их популярности.

Почему HTTPS-атака представляет такую угрозу? Несмотря на то, что в ней используется протокол, аналогичный протоколу HTTP, она представляет угрозу совершенно иного уровня. Причина в следующем: как правило, HTTP-атаки можно обнаружить и ликвидировать с помощью системы защиты от DDoS-атак, которая расположена на клиентском оборудовании (CPE), в облаке или, в идеальном случае, и там, и там. Такие решения могут справиться с HTTP-атаками уровня приложений или атаками на переполнение сети.

Image:HTTP-атаки.jpeg

Однако когда те же самые атаки выполняются посредством протокола HTTPS, дела обстоят по-другому. Сетевые флуды могут быть остановлены; данные пока не шифруются, и SYN-флуд, к примеру, по HTTPS выглядит точно также, как и по HTTP. Однако атаки на приложения достаточно сложно обнаружить.

Image:Атаки по протоколу HTTPS.jpeg

Как показано на рисунке, зашифрованный HTTPS-трафик обычно дешифруется только на веб-сервере, балансировщике нагрузки или выделенном устройстве для SSL-терминации. Данные объекты обычно лежат дальше в сети после того уровня, где трафик проверяется системами защиты от DoS-атак (в облаке или CPE):

  • Поскольку организации неохотно соглашаются на передачу своих ключей SSL и сертификата в MSSP облака, ведь такое действие несет определенные риски, система защиты от DoS-атак, расположенная в облаке, не может проанализировать зашифрованный трафик, и, следовательно, не может обнаружить атаку.
  • CPE-устройство также видит данные в зашифрованном виде, и тоже не может их проанализировать. Следовательно, заметить атаку получается слишком поздно, после того, как она уже достигла своей цели.

SSL-атаки

Помимо HTTPS-атак, существуют атаки, присущие именно уровню SSL, которые нацелены непосредственно на механизм обмена данными по SSL. SSL-атаки, которые выполняются с помощью инструмента THC-SSL-DOS, подробно обсуждались в отчете за 2011 год, однако мы вкратце изложим этот вопрос.

Обычно SSL-подтверждение выполняется только единожды с целью установки безопасного соединения. Для атаки используется опция протокола на «повторное согласование» для установки нового секретного ключа. Отправляя многократные запросы на повторное SSL-согласование, злоумышленник значительно повышает нагрузку на процессор целевого сервера до того момента, когда тот уже не может дальше работать.

В тех случаях, когда сервером не поддерживается опция «повторного согласования», злоумышленник может открывать новые SSL-соединения, что приведет к такому же эффекту. SSL-атака носит асимметричный характер - ресурсы, необходимые серверу для обработки подтверждения, в 15 раз больше тех, которые требуются от устройства, запросившего подтверждение (атакующего).

Протокол HTTPS поддерживается практически всеми веб-сайтами и является важным компонентом финансовых сайтов, где с его помощью защищаются денежные операции. С учетом сложности выявления HTTPS-атак, мы ожидаем увидеть резкий рост популярности таких атак и рекомендуем организациям, особенно тем, кто работает в финансовом секторе, приобрести решение по борьбе с данной проблемой..

Вредное стрессовое тестирование

Доступность веб-ресурса является важнейшим фактором при ведении бизнеса: длительное время отклика и недоступность приводит к прямым убыткам в виде потерянных потенциальных клиентов. Именно поэтому разработчики и владельцы веб-приложений уделяют особое внимание процедурам нагрузочного и стрессового тестирования. В свою очередь, появились сервисы, осуществляющие проверку веб-ресурсов, имитируя активность посетителей.

Стрессовое тестирование — это процедура оценки характеристик работоспособности системы, проводимая за рамками предельного значения нагрузки. Стресс-тесты в большинстве случаев ведут к аномальному поведению системы или ее отказу в обслуживании аналогично DDoS-атакам. Однако цели у стрессового тестирования и DDoS-атаки совершенно разные. В первом случае задача — определить показатели предельной нагрузки системы и проверить устойчивость к некоторым сценариям DDoS-атак, а во втором — сделать недоступным атакуемый объект любыми эффективными методами, нарушив тем самым работоспособность целевой инфраструктуры.

С ростом потребности подобных оценок появилось немало онлайн-сервисов, позволяющих не утруждать себя настройкой сложных систем тестирования и подготовкой облачной инфраструктуры: достаточно задать параметры нагрузки и оплатить вычислительные мощности, ожидая затем отчет о поведении ресурса. При этом некоторые службы для ознакомления бесплатно предлагают короткий тест без регистрации.

Однако злоумышленники могут воспользоваться этой, на первый взгляд, безобидной услугой в своих целях. Дело в том, что большинство сервисов нагрузочного тестирования не требуют подтверждения того, что процедуру заказывает его владелец — нет никаких дополнительных привязок к телефонному номеру или кредитной карте. Так, из шести рассмотренных специалистами «Лаборатории Касперского» сервисов только один просит разместить на тестируемом ресурсе специальный файл — его наличие означает гарантию того, что администратор сервера уведомлен о процедуре. Более того, два сервиса позволили осуществить нагрузочное тестирование вообще без регистрации — достаточно было ввести URL ресурса. Эксперты «Лаборатории Касперского» пришли к неутешительному прогнозу, представив несколько вариантов использования злоумышленниками одного только бесплатного режима, не говоря уже про более богатые платные возможности.

«Киберпреступники могут эксплуатировать подобные системы для нанесения серьезных ударов владельцам некрупных веб-ресурсов. Во избежание такого сценария каждый сервис нагрузочного тестирования должен запрашивать согласие от владельца: просить его разместить уникальный код или баннер на сайте, только после чтения которого будет запущен трафик. В дополнение следует использовать технологию CAPTCHA при работе с сервисом. Подобные процедуры верификации помогут избежать неправомерных действий со стороны злоумышленников и роботов бот-сетей», — прокомментировал Денис Макрушин, менеджер по техническому позиционированию «Лаборатории Касперского».

Проблемы обороны от DDoS

Защититься от DDoS сложно по следующим трем основным причинам.

  • Врожденные уязвимости сети. Во-первых, в этом случае нет уязвимостей сети, которая используется преступниками. Атака успешна потому, что в природе всех компьютерных платформ существует некий порог доставки. Компьютеры, кластеры или облачные системы - все они имеют физические ограничения по количеству запросов, которые они могут обрабатывать в заданное время. Успешная атака DDoS должно просто генерировать достаточное количество трафика, чтобы превысить это пороговое значение. Большая часть других атак может быть отражена путем использования специальных патчей, конфигурацией систем безопасности или изменение политик. Но ни один из этих подходов не поможет противостоять DDoS. Службы должны быть всегда доступны и, значит, уязвимы для атак.
  • Невозможность заблокировать толпу. DDoS очень сложно заблокировать, поскольку существует очень много источников атаки. Очень трудно обеспечить эффективную блокировку длинного списка атакующих IP-адресов. Потенциально тысячи адресов должны быть временно добавлены в черный список для того, чтобы остановить атаку. Если атакующий использует метод, прикрывающий атаку вполне легитимными хостами (spoofing), то в черный список могут попасть и невинные хосты.
  • Поиск виновных. Тут мы сталкиваемся с третьей проблемой: очень сложно определить, какие пользователи делают вполне законные запросы, а какие участвуют в DDoS. Поскольку все компьютеры, получающие доступ к услугам, создают нагрузку на сервер, то они все и участвуют в атаке, даже не зная об этом. Нужна очень аккуратная проверка, чтобы определить, какие клиентские хосты "хорошие", а какие "плохие". Нужно сделать много расчетов и сделать их быстро, прежде чем будут приняты какие-либо решения.[1]

Жертвой DDOS-атак может стать любая организация. Для оперативного восстановления работоспособности некоторые компании скорее предпочтут заплатить выкуп, нежели обратятся за помощью в правоохранительные органы. Ведь для крупных и средних компаний недоступность ресурсов порой означает если не остановку всего бизнеса, то значительные финансовые потери.

DDoS-атаки - это распространенный инструмент недобросовестной конкуренции или маскировка взлома сайтов с целью кражи конфиденциальной информации. Защита от таких атак особенно актуальна для компаний, работающих в сети Интернет – в первую очередь, это банки, компании, работающие в сфере электронного бизнеса (интернет-магазины), ежедневно использующие системы платежей и заказов, контент-провайдеры, средства массовой информации. За последние 7 лет мощность DDoS-атак выросла в 100 раз; в 2009 году была зафиксирована DDoS-атака мощностью 49 Гбит/с.

Мощная DDoS-атака может занять всю емкость интернет-канала «жертвы», поэтому на стороне атакуемого проблему не решить: эффективная защита может быть обеспечена только на уровне оператора связи. Internet Umbrella постоянно контролирует уровень превышения интенсивности различных профилей трафика для защищаемой сети и сравнивает его со стандартными значениями трафика. В случае атаки оборудование Orange Business Services фильтрует вредоносные пакеты и направляет клиенту только очищенный трафик. Все эти действия производятся в автоматическом режиме 24 часа в сутки, а емкость интернет-каналов оператора достаточна для того, чтобы предотвращать самые мощные атаки. Выделенная смена технических специалистов Orange наблюдает за эффективностью и работоспособностью услуги в режиме 24/7 и оперативно вносит корректировки по мере необходимости.

Из-за снижения стоимости организации мощных DDoS-атак рассчитывать на свои силы в защите от них могут позволить себе только компании, располагающие широкополосным доступом в Интернет и резервированием канала подключения, что редкость в нынешней российской корпоративной практике. Поэтому в этом деле корректнее полагаться даже не на операторов связи, а на специализированных провайдеров услуги по защите от DDoS-атак. Благо такие провайдеры в России появляются.

Эксперты по информационной безопасности отмечают, что количество `чистых` DDoS-атак как средства кибернападения в России в 2012 году уменьшается. Они связывают это со снижением их прямой прибыльности для преступников. Предполагается, что в ближайшие год-два эти атаки переместятся в сферу политики, как внутренней, так и внешней, где и будут в `чистом` виде преимущественно применяться.

Основным же способом использования DDoS-атак станут комплексные кибератаки, среди которых наибольшую опасность для атакуемых представляют так называемые Advanced Persistent Threats — целенаправленные многоплановые продолжительные угрозы. Сегодня разновидности таких атак доказывают свою разрушительность в сфере дистанционного банковского обслуживания, где DDoS-атаки используются как `дымовая завеса`, блокирующая взаимодействие банка и жертвы в процессе проведения атаки и выигрыша времени атакующими для успешного завершения кражи денег и принятия мер к заметанию следов.

Как остановить изощренные кампании атак

Чтобы остановить такие кампании, организациям требуется изменить стратегию защиты, перейдя с двухэтапной защиты на трехэтапную. Двухэтапный подход подразумевает предварительный этап подготовки к атаке – выбор решений по обеспечению безопасности, развертывание систем безопасности и другие меры, и этап после атаки - проведение экспертизы, подведение итогов и совершенствование используемых средств защиты в ожидании следующей атаки. Этих действий было достаточно, пока атаки носили непродолжительный характер.

Теперь, когда кампании длятся днями или неделями, организациям требуется добавить третий этап – защитную стратегию, используемую ВО ВРЕМЯ атаки. Наиболее важным компонентом такой стратегии является команда экспертов, которые могут не только динамически реагировать на действия злоумышленников во время нападения, но также применять контрмеры для остановки атаки, и затем анализировать полученную информацию для совершенствования методов борьбы с будущими атаками. Для организаций неразумно содержать требуемое количество людских ресурсов и квалифицированных специалистов на постоянной основе, учитывая, что в год они подвергаются всего нескольким атакам. Организации, таким образом, должны найти дополнительные внешние ресурсы – экспертов по безопасности, отраслевые альянсы или государственные службы. Только с помощью таких услуг по требованию и усиления своей команды специалистов услугами сторонних экспертов можно одержать победу в борьбе за безопасность.

Чему мы можем научиться в борьбе с атаками?

Усовершенствованные и продолжительные DoS- и DDoS-атаки безусловно опасны и сложны, однако они предоставляют некоторые весьма ценные возможности для развития. Эксперты по безопасности могут собрать актуальные сведения об атакующих – кем они являются, и какие инструменты используют. В конечном итоге, это позволяет организациям отразить атаку, применить контрмеры и победить атакующих на их поле.

Список мер, которые необходимо предпринять, если вы подверглись DDoS-атаке

  • Убедитесь в том, что атака произошла. Исключите общие причины перебоя работы, включая неправильную конфигурацию DNS, проблемы с маршрутизацией и человеческий фактор.
  • Обратитесь к техническим специалистам. С помощью технических специалистов определите, какие ресурсы подверглись атаке[2].
  • Установите приоритеты важности приложений. Установите приоритеты важности для того, чтобы сохранить наиболее приоритетные приложения. В условиях интенсивной DDoS-атаки и ограниченных ресурсов необходимо сосредоточиться на приложениях, обеспечивающих основные источники прибыли.
  • Защитите удаленных пользователей. Обеспечьте работу вашего бизнеса: занесите в белый список IP-адреса доверенных удаленных пользователей, которым необходим доступ, и сделайте этот список основным. Распространите это список в сети и отправьте его поставщикам услуг доступа.
  • Определите класс атаки. C каким типом атаки вы столкнулись: Объемная? Маломощная и медленная? Ваш поставщик услуг сообщит вам, является ли атака исключительно объемной.
  • Оцените варианты борьбы с адресами источников атак. В случае сложных атак ваш поставщик услуг не сможет преодолеть/определить количество источников. Заблокируйте небольшие списки атакующих IP-адресов в вашем межсетевом экране. Более крупные атаки можно блокировать на основе данных о геопозиционировании.
  • Заблокируйте атаки на уровне приложения. Определите вредоносный трафик и проверьте, создается ли он известным инструментом. Определенные атаки на уровне приложения можно блокировать для каждого конкретного случая с помощью контрмер, которые могут быть предоставлены имеющимися у вас решениями.
  • Усильте свой периметр защиты. Возможно, вы столкнулись с ассиметричной атакой DDoS 7 уровня. Сосредоточьтесь на защите на уровне приложений: используйте системы логинов, систему распознавания людей или технологию Real Browser Enforcement.
  • Ограничьте сетевые ресурсы. Если предыдущие меры не помогли, то необходимо ограничить ресурсы – таким образом будет ограничен «плохой» и «хороший» трафик.
  • Управляйте связями с общественностью. Если атака стала публичной, подготовьте официальное заявление и проинформируйте персонал. Если отраслевые политики предусматривают это, подтвердите факт атаки. Если нет, то сошлитесь на технические трудности и порекомендуйте персоналу перенаправлять все вопросы руководителю отдела по связям с общественностью.

2016

Данные Qrator Labs

Динамика DDoS-атак в 2015 — 2016

Динамика DDoS-атак в 2015 — 2016

Бум стартапов и последующий рост числа подключённых устройств — это новое поле богатых возможностей, где можно создать не один ещё более крупный и опасный ботнет. В 2016 году внезапно появился считавшийся недостижимым терабит в секунду.

Одновременно заметно упал уровень необходимого опыта и знаний для организации DDoS атак. Сегодня для осуществления удачной атаки даже на крупные сайты и приложения достаточно видеоинструкции на YouTube или немного криптовалюты для оплаты услуг сервиса типа booter. Поэтому в 2017 году самым опасным человеком в сфере кибербезопасности может оказаться, например, обычный подросток с парой биткойнов в кошельке.

Амплификация

Для увеличения мощности атак злоумышленники амплифицируют атаки. Атакующий увеличивает объём отсылаемого «мусорного» трафика путём эксплуатации уязвимостей в сторонних сервисах, а также маскирует адреса реального ботнета. Типичный пример атаки с амплификацией — это трафик DNS-ответов на IP-адрес жертвы.

Другой вектор — Wordpress, повсеместный и функциональный движок для блогов. Среди прочих функций в этой CMS есть функция Pingback, с помощью которой автономные блоги обмениваются информацией о комментариях и упоминаниях. Уязвимость в Pingback позволяет специальным XML-запросом заставить уязвимый сервер запросить любую веб-страницу из Интернета. Полученный злонамеренный трафик называют Wordpress Pingback DDoS.

Атака на HTTPS не сложнее, чем на HTTP: нужно лишь указать другой протокол. Для нейтрализации же потребуется канал шириной от 20 Гбит/с, возможность обрабатывать трафик прикладного уровня на полной пропускной способности соединения и расшифровывать все TLS-соединения в реальном времени — значительные технические требования, исполнить которые могут далеко не все. К этой комбинации факторов добавляется огромное число уязвимых серверов на Wordpress — в одной атаке можно задействовать сотни тысяч. У каждого сервера неплохое соединение и производительность, а участие в атаке для обычных пользователей незаметно.

BGP и утечки маршрутов

Отцы-основатели Интернета вряд ли могли предвидеть, что он вырастет до своих текущих объёмов. Та сеть, которую они создавали, была построена на доверии. Это доверие было утрачено в периоды бурного роста Интернета. Протокол BGP создавали, когда общее число автономных систем (AS) считали десятками. Сейчас их более 50 тысяч.

Протокол маршрутизации BGP появился в конце восьмидесятых как некий набросок на салфетке трёх инженеров. Неудивительно, что он отвечает на вопросы ушедшей эпохи. Его логика гласит, что пакеты должны идти по лучшему из доступных каналов. Финансовых отношений организаций и политики огромных структур в нём не было.

Но в реальном мире деньги — на первом месте. Деньги отправляют трафик из России куда-то в Европу, а затем возвращают обратно на Родину — так дешевле, чем использовать канал внутри страны. Политика не даёт двум поссорившимся провайдерам обмениваться трафиком напрямую, им легче договориться с третьей стороной.

Другая проблема протокола — отсутствие встроенных механизмов проверок данных по маршрутизации. Отсюда берут корни уязвимости BGP hijacking, утечек маршрутов и зарезервированных номеров AS. Не все аномалии злонамеренны по своей природе, часто технические специалисты не до конца понимают принципы функционирования протокола. «Водительских прав» на вождение BGP не дают, штрафов нет, зато доступно большое пространство для разрушений.

Типичный пример утечек маршрутов: провайдер использует список префиксов клиентов как единственный механизм фильтрации исходящих анонсов. Вне зависимости от источника анонсов клиентские префиксы всегда будут анонсироваться по всем доступным направлениях. Пока существуют анонсы напрямую, данная проблема остаётся труднодетектируемой. В один момент сеть провайдера деградирует, клиенты пытаются увести анонсы и отключают BGP-сессию с проблемным провайдером. Но оператор продолжает анонсировать клиентские префиксы во всех направлениях, создавая тем самым утечки маршрутов и стягивая на свою проблемную сеть значительную часть клиентского трафика. Разумеется, так можно организовывать атаки Man in the Middle, чем некоторые и пользуются.

Для борьбы с утечками в anycast-сетях мы разработали ряд поправок и представили их Инженерному совету Интернета (IETF). Изначально мы хотели понять, когда в такие аномалии попадают наши префиксы, и по чьей вине. Поскольку причиной большинства утечек оказалась неправильная настройка, мы поняли, что единственный способ решить проблему — устранить условия, в которых ошибки инженеров способны влиять на других операторов связи.

IETF разрабатывает добровольные стандарты Интернета и помогает их распространению. IETF — это не юридическое лицо, а сообщество. У такого метода организации есть множество плюсов: IETF не зависит от правовых вопросов и требований какой-либо страны, его нельзя засудить, взломать или атаковать. Но IETF не платит зарплаты, всё участие добровольно. Вся деятельность едва ли выходит на приоритет выше, чем «неприбыльная». Поэтому разработка новых стандартов идёт медленно.

Обсуждать или предлагать черновики стандартов может любой желающий — в IETF нет требований членства. В рабочей группе идёт основной процесс. Когда достигнуто согласие об общей теме, то с авторами предложения начинают обсуждения и доработку черновика. Результат уходит директору области, цель которого — перепроверка документа. Затем документ направляют в IANA, поскольку всеми изменениями протокола управляет именно эта организация.

Если наш черновик с новым расширением BGP пройдёт все круги ада, то поток утечек маршрутов иссякнет. Злонамеренные утечки никуда не уйдут, но для решения этой задачи есть лишь один вариант — постоянный мониторинг.

Прооноз

По статистике, полученной компанией Wallarm с развёрнутых компанией honeypot'ов, в 2016 году между публичным эксплойтом и его массовой эксплуатацией проходит в среднем 3 часа. В 2013 году этот срок составлял неделю. Злоумышленники становятся всё более подготовленными и профессиональными. Ускорение продолжится, мы ожидаем сокращения этого временного промежутка до 2 часов в ближайшем будущем. И снова лишь проактивный мониторинг способен предотвратить эту угрозу и застраховать от чудовищных последствий.

Взлом и сетевое сканирование уже достигли небывалого масштаба. Всё больше злоумышленников в этом году обзаведётся предварительно отсканированными диапазонами IP-адресов, сегментированных по используемым технологиям и продуктам — к примеру, «все серверы Wordpress». Увеличится число атак на новые технологические стеки: микроконтейнеры, приватные и публичные облака (AWS, Azure, OpenStack).

В следующие один или два года мы ожидаем увидеть ядерный тип атак на провайдеров и другую инфраструктуру, когда пострадают связанные автономные системы или целые регионы. Последние несколько лет битвы меча и щита привели к более продвинутым методам нейтрализации. Но отрасль часто забывала о legacy, и технический долг довёл атаки до небывалой простоты. Начиная с этого момента, выстоять против рекордных нападений смогут лишь построенные со знанием дела гео-распределённые облачные системы.

Qrator Labs: устойчивость национальных сегментов Интернета в мире

7 июня 2016 года компания Qrator Labs сообщила о результатах исследования влияния возможных сбоев в работе сетей операторов связи на глобальную доступность национальных сегментов сети интернет.

Исследование проводилось в национальных сегментах 236 стран мира - всех, где действует Интернет. Результатом исследования стал рейтинг стран в порядке возрастания показателя, отражающий степень зависимости доступности[3] национальных сегментов интернета от сбоев в работе отдельных операторов.

Расчет этого показателя для каждой исследуемой страны сделан по следующей методике:

  • первым этапом на основе данных Maxmind составлена карта сетевых префиксов операторов, на которой анонсируемые префиксы распределены по национальным сегментам сети интернет.
  • на втором этапе с использованием системы моделирования работы глобального интернета Qrator.Radar для каждого оператора проведен расчет степени влияния отказа его работы на конкретный национальный сегмент: определялось число префиксов национального сегмента, теряющих глобальную доступность в интернете.

Для формирования рейтинга отбирались операторы, отказ которых может привести к потере глобальной доступности наибольшего процента префиксов заданного национального сегмента. Эти операторы перечислены во втором столбце таблиц, приведенных ниже.

Топ-10 стран по устойчивости национальных сегментов сети интернет[4], (2016)
Рейтинг стран бывшего СССР, (2016)
« На глобальную доступность национального сегмента сети интернет влияет состояние рынка страны. Чем выше зрелость рынка и степень его диверсифицированности (в частности, чем больше операторов среднего размера имеют доступ к трансграничному переходу), тем стабильнее работа всего национального сегмента.
Александр Лямин, генеральный директор Qrator Labs
»

«Ростелеком» отразил DDoS-атаки на крупнейшие банки и финансовые организации России

«Ростелеком» отразил в декабре DDoS-атаки на 5 крупнейших банков и финансовых организаций России. Отраженные атаки имели похожий почерк: тип – TCP SYN Flood. Пиковая мощность составляла 3.2 миллиона пакетов в секунду. При этом самая продолжительная атака длилась более 2 часов. Все отраженные атаки были зафиксированы 5 декабря 2016 года.

«Анализ источников атак, проведенный специалистами «Ростелекома», выявил, что часть трафика генерировалось с домашних маршрутизаторов пользователей, которые принято относить к IoT устройствам. Отличительной особенностью атак являлось то, что они были организованы с помощью устройств, поддерживающих протокол управления CWMP (TR-069). Несколько недель назад в реализации данного протокола на устройствах ряда производителей была выявлена серьезная уязвимость, позволяющая злоумышленникам формировать ботнет с целью организации DDoS-атак. В частности, в начале прошлой недели атаке на домашние устройства пользователей подвергся крупнейший немецкий оператор Deutsche Telecom, а также ирландский провайдер Eircom», - заявил директор Центра кибербезопасности ПАО «Ростелеком» Муслим Меджлумов.

Организация DDoS-атак с использованием ботнет из сегмента IoT получает все большее распространение, а количество устройств, участвующих в этих атаках превышает сотни тысяч. Уже есть примеры, когда пиковая мощность атак с использованием данной технологии превышала 1 Тбит/с.

Своим клиентам «Ростелеком» предлагает услугу «Мониторинг трафика и защита от DDoS-атак», которая позволяет справиться с DDoS-атаками на любой информационный ресурс в кратчайшие сроки. Каждому клиенту предоставляется доступ к личному кабинету, где он может получить всю необходимую информацию по выявленным аномалиям и наблюдать за ходом отражения атаки. Услуга «Защита от DDoS-атак» является дополнительной к услуге доступа в интернет и позволяет корпоративным пользователям «Ростелекома» получать комплексные услуги связи и гарантии безопасности в рамках одного соглашения. Услуга предоставляется 24 часа в сутки 365 дней в году. Защиту от DDoS-атак «Ростелеком» использовал при реализации масштабных национальных проектов: организации системы видеонаблюдения за ходом выборов Президента РФ в 2012 году, проведения ежегодных «прямых линий» с Президентом, а также поддержки Зимних Олимпийских игр в Сочи.

Пять крупных российских банков подверглись DDoS-атаке. Главное

10 ноября Центробанк РФ заявил, что пять российских банков подверглись хакерской атаке[5]. Представители трех из них подтвердили эту информацию; по словам представителей организаций, мощность атак варьировалась от «слабой» до «мощной»; взаимодействие с клиентами не пострадало.

Под ударом оказались Сбербанк, Альфа-банк, «Открытие», «ВТБ Банк Москвы» и Росбанк. По оценке «Лаборатории Касперского», DDoS-атаки (они генерируют трафик, перегружающий систему) начались в 16:00, каждая длилась минимум час, а самая долгая — почти 12 часов. Некоторые банки подверглись серии от двух до четырех атак, произошедших с небольшим интервалом. Атаковавшие использовали ботнет (сеть зараженных устройств), в которую, по оценкам специалистов, входили 24 тысячи машин из «интернета вещей» (зараженными хостами в этом случае могли быть, например, подключенные к интернету телевизоры или камеры видеонаблюдения).

Первым об атаке на российские банки сообщило американское издание Motherboard, научное подразделение издания Vice. 8 ноября Motherboard рассказал о переписке с хакером под ником vimproduct. Он заявил, что берет на себя ответственность за атаку на ВТБ, Росбанк, Альфа-банк и Московскую биржу (в последней отметили возросшую нагрузку на сайт, но объяснили это проходящими в США выборами президента)[6].

«Vimproduct присылал нам одну за другой ссылки на полностью работающие сайты, через мгновения они переставали отвечать», — говорится в заметке Motherboard. Издание также приводит скриншот сайта Альфа-банка, выдающего внутреннюю ошибку. Взломщик объяснил атаку тем, что «его заказчики были недовольны вмешательством России в американские выборы», а также отметил, что несколько раз атаковал сайт Минэкономразвития РФ, но безуспешно.

В половине Америки «лег» интернет

21 сентября 2016 г. пользователи интернета в США столкнулись с проблемой – десятки востребованных ресурсов были недоступны, либо работали с ошибками. В их число вошли социальная сеть Twitter, платежная система PayPal, новостной сайт Reddit, музыкальный сервис Spotify и другие[7][8].

Проблемы доступа коснулись жителей густонаселенного Восточного побережья США, где проживает до половины населения страны, частично тихоокеанского побережья и отчасти Великобритании.

Как выяснилось, причиной неполадок была широкомасштабная DDoS-атака на DNS-сервера компании Dyn, которая является провайдером доменных имен. Проблема затронула практически все Восточное побережье США.

DNS-серверы отвечают за связь между доменным именем (например, ya.ru) и IP-адресом (213.180.204.3 соответственно). Если DNS-сервер не может ответить пользователю, браузер не знает, откуда получать информацию. Поэтому эти серверы можно отнести к ключевой инфраструктуре интернета — тем более, если речь идет о крупном провайдере услуг, который используют сервисы с миллионами пользователей[9].

При DDoS-атаке сервер нагружается «мусорным» трафиком, в результате чего для обычных пользователей доступ ограничивается. В случае с провайдером Dyn для атаки использовались устройства «интернета вещей» — камеры, роутеры и так далее.

Часть ответственности лежит и на производителях техники. Они ничего не делают для того, чтобы пользователи изменяли стандартные пароли на камерах, роутерах, принтерах и других устройствах. Из-за этого получить к ним доступ очень просто. В итоге атаки идут с принтеров Xerox и Panasonic, а также камер с роутерами от менее известных компаний.

Действия компании

В 11:10 по всемирному времени (14:10 по Москве) Dyn сообщила на своем сайте, что ее сотрудники начали борьбу с атакой. Компания предупредила, что пользователи могут испытывать неудобства, связанные с задержками DNS-запросов и зонального распространения. В 13:20 по всеобщему времени Dyn заявила, что работа DNS-серверов полностью восстановлена

Какие ресурсы были недоступны

Во время атаки пользователи потеряли доступ к таким востребованным ресурсам, как веб-сервис для хостинга IT-проектов GitHub, сайт для поиска услуг Yelp, онлайн-словарь сленга Urban Dictionary, фотохостинг Pinterest, сервис обмена фотографиями Imgur, сервис по созданию сайтов Weebly, сервис загрузки контента Playstation Network и другим.

Федеральная торговая комиссия США подала в суд на D-Link

Федеральная торговая комиссия США (Federal Trade Commission, FTC) подала иск[10] к тайваньской компании D-Link за то, что производитель не обеспечил безопасность своих продуктов, оставив их уязвимыми к хакерским атакам. Согласно исковому заявлению, D-Link не реализовала необходимые механизмы защиты в выпускаемых компанией маршрутизаторах и подключаемых к интернету видеокамерах, тем самым «поставив под угрозу безопасность тысяч потребителей»[11].

Причиной подачи иска послужило использование киберпреступниками незащищенных устройств «Интернета вещей» (IoT) для создания ботнетов, используемых для осуществления масштабных DDoS-атак. К таковым в частности относится ботсеть Mirai, состоящая из маршрутизаторов, веб-камер и видеорегистраторов с ненадежными заводскими паролями. С помощью данного ботнета в прошлом году были осуществлены мощнейшие за всю историю DDoS-атаки. Кроме того, Mirai использовался для отключения интернета на восточном побережье США.

Сам ботнет Mirai состоял из подключённых к Интернету устройств с парами-логин пароль по умолчанию и достаточно простыми уязвимостями. Мы полагаем, что это — лишь первенец в целом поколении ботнетов на основе Интернета вещей. Даже решение проблемы одного Mirai не поможет. Злоумышленники сначала просто перебирали пароли, теперь ищут уязвимости и бэкдоры, доходит до изучения кода свежей прошивки устройства на предмет возможных «дырок» с последующей их эксплуатацией в течение считанных часов.

Данные «Лаборатория Касперского»

По данным «Лаборатории Касперского», в третьем квартале 2016 г. от DDoS-атак пострадали веб-ресурсы в 67 странах мира. Абсолютное большинство их (97%) пришлось всего на три страны: Китай, США и Южную Корею. При этом Китаю «досталось» больше всех — 63% DDoS-атак были нацелены на ресурсы именно этого государства. На фоне тройки лидеров число атак, зафиксированных в России, выглядит неубедительно, однако по сравнению с предыдущим кварталом оно заметно увеличилось — с 0,8% до 1,1%.

Между тем, Китай бьет рекорды и по другим квартальным показателям. Так, самая долгая атака в отчетном периоде продолжалась 184 часа (7,6 дня) и была нацелена на китайского провайдера. А популярный китайский поисковик стал рекордсменом по числу DDoS-атак на одну и ту же цель — за третий квартал ресурс был атакован 19 раз.

В целом же эксперты «Лаборатории Касперского» заметили увеличение числа «умных» атак, которые используют защищенные https-соединения и таким образом избегают распознавания защитными системами. Чаще всего при подобных DDoS-атаках злоумышленники создают сравнительно небольшие по объему потоки запросов к «тяжелой» части веб-сайтов — например, к поисковым формам — и отправляют их с использованием https-протоколов, защищенных шифрованием. Системы распознавания и предотвращения DDoS-атак, в свою очередь, зачастую не способны расшифровывать трафик «на лету» и пропускают все запросы на сервер веб-ресурса. Таким образом, запросы атакующих остаются незамеченными, и DDoS-атака становится успешной даже при низкой интенсивности, пояснили в компании.

Еще одной тенденцией остается увеличение доли атак с Linux-ботнетов — в третьем квартале она выросла на 8 процентных пунктов и достигла к октябрю 79%. Это отчасти коррелируется с ростом популярности и без того самого распространенного метода SYN-DDoS, для которого Linux-ботнеты являются наиболее подходящим инструментом. Однако на Linux сегодня работают и многие устройства интернета вещей, например, маршрутизаторы, которые все чаще оказываются замечены в составах различных бот-сетей. Именно поэтому особое внимание экспертов привлекла публикация исходного кода ботнета Mirai, который содержит встроенный сканнер, находящий уязвимые устройства интернета вещей и включающий их в состав ботнета.


Вероятность того, что компания, один раз ставшая жертвой DDoS-атаки, подвергнется ей еще раз, весьма высока. Это подтверждают 77% российских организаций, неоднократно испытавших на себе действие этой угрозы в течение года, при этом более трети (37%) компаний были атакованы четыре или больше раз. Эта статистика подтверждает тот факт, что защитные инструменты от DDoS-атак обязательно должны входить в систему безопасности компании, и важным критерием их эффективности является способность обеспечить непрерывность работы корпоративных онлайн-сервисов непосредственно во время атаки, подчеркнули в компании.

Что касается продолжительности DDoS-атак, то в 40% случаев они длятся не более часа, а в 13% — до нескольких недель. Чаще всего жертвами этого вида угроз в России становятся компании, активно использующие различные веб-сервисы для своей основной деятельности — предприятия электронной коммерции, финансовые учреждения, государственные органы, СМИ. Также зачастую с DDoS-атаками сталкиваются высокотехнологичные организации, такие как телекоммуникационные и ИБ-компании.

Негативно влияет на репутацию компаний не только сам факт атаки, но и то, что нередко они узнают о ней от внешних источников: в 21% случаев — от клиентов, а в 29% случаев — от подрядчика, проводящего анализ защищенности ИТ-инфраструктуры организации. По мнению экспертов «Лаборатории Касперского», это неудивительно, ведь чаще всего киберпреступники атакуют внешние ресурсы: клиентские порталы (40%), коммуникационные сервисы (36%) и сайты (52%).

Кибератаки на сайты RT продолжаются уже более семи дней

Подробнее: RT TV (Russia Today)

Nexusguard: Россия лидирует по числу DDoS-атак

В конце июля 2016 года компания Nexusguard, специализирующаяся на разработке решений защиты от киберугроз в интернете, опубликовала отчет о совершении DDoS-атак по всему миру. Больше всего нападений зафиксировано в России.

По итогам второго квартала 2016 года в Nexusguard насчитали 182 900 DDoS-атак в глобальном масштабе, что на 83% больше показателя годичной давности. Россия заняла первое место по количеству таких нападений. Сколько их было совершено в нашей стране, эксперты не уточнили, но отметили, что свыше 40% атак были адресованы абонентам провайдера «Старлинк». В данном случае злоумышленники атаковали DNS-серверы в течение длительного времени, в результате чего средняя продолжительность DDoS-атак в мире начала измеряться часами, а не минутами, как в январе-марте 2016 года.

Во втором квартале 2016 года число DDoS-атак в мире выросло на 83%

В Nexusguard говорят, что целенаправленные атаки на российские компании организовали националистические хакеры-активисты. При этом речь не шла о нападениях по заказу конкурентов.

В тройку стран, на которые обрушилось больше всего DDoS-атак во второй четверти 2016 года, помимо России, вошли Соединенные Штаты и Китае. В десятке осталась Бразилия, однако количество атак в этой стране уменьшилось более чем наполовину.

« Мы были удивлены увеличением числа DDoS-атак в этом квартале, особенно, когда хакеры экспериментировали с программами-вымогателями, фишинговыми схемами и другими методами получения денежной наживы, — говорит главный научный сотрудник Nexusguard Терренс Гаро (Terrence Gareau). — В 2016 году частота атак на организации может продолжить рост, особенно в связи с большим вниманием к летним Олимпийским играм и выбору президента в США в ноябре. »

В рамках DDoS-атак хакеры чаще всего использовали NTP- и DNS-серверы — в 85,8 тыс. и 80,9 тыс. случаев соответственно во втором квартале 2016 года, говорится в отчете Nexusguard.[12]

2015

Данные Qrator Labs

Каждый четвертый банк РФ сталкивался с DDoS-атаками в 2015 году

8 июня 2016 года компания Qrator Labs сообщила о росте числа DDoS-атак в мире и России, в частности[13].

« DDoS-атаки в России по качеству опережают подобные вредоносные кампании в мире на 1-1,5 года, именно поэтому жертвами таких «мусорных» кибератак чаще становятся российские банки и финансовые организации.

Александр Лямин, генеральный директор компании Qrator Labs
»

По мнению эксперта, в мире наблюдается рост числа инцидентов с использованием DDoS-атак. В 2015 году количество таких кампаний возросло на 18%. В России ситуация обстоит гораздо хуже. Согласно результатам исследования Qrator Labs, в 2015 году каждый четвертый российский банк столкнулся с этой проблемой (согласно сведениям Банки.ру на 15 июня 2016 года в РФ действуют 733 банковских учреждения - прим. TAdviser).

По сравнению с 2014 годом, рост числа DDoS-атак на финансовые учреждения - 50%, на предприятия сектора электронной коммерции - 70%, туристической сферы – 150%. Самым атакуемым стал рынок недвижимости, здесь число DDoS-атак возросло на 170%.

Согласно отчету компании Imperva, в первом квартале 2016 года усилилась активность DDoS-ботнетов. Злоумышленники чаще используют имитирующие работу браузеров DDoS-боты, которые могут обходить системы безопасности с настройками "по умолчанию".

Угрозы 2015 года в онлайн-ритейле

23 декабря 2015 года компания Qrator Labs сообщила о результатах ноябрьского 2015 года исследования агентства 42Future по заказу Qrator Labs, в результате которого проведен опрос двадцати крупных онлайн-ритейлеров на тему "DDoS-атака и ее последствия".

В документе представлены тренды киберугроз в индустрии онлайн-ритейла, выявленные специалистами Wallarm и Qrator Labs.

Угрозы в интернет-ритейле (2015)

В результате опроса представителей 20 крупных онлайн-ритейлеров РФ в ноябре 2015 года, на вопрос - сталкивались ли с DDoS-атаками за последний год, четверть опрошенных подтвердили - сайты компаний подвергались DDoS-атакам в течение 2015 года. При этом 40% респондентов допускают, что их атаковали, но компания атаку не регистрировала. В частности, так может происходить потому что компания использует внешние средства противодействия DDoS-атакам, работающие эффективно.

Оценка мотивов атаки

По мнению участников опроса, DDoS-атаки представляют собой серьёзную угрозу для их бизнеса - об этом сообщили 65% респондентов. Почти все использовали формулировку "очень серьёзна" или "серьёзна" при ответе на вопрос о значительности киберугрозы.

Компании, которые подвергались DDoS-атакам и не использовали средства противостояния, отметили значимость финансовых потерь для бизнеса, которые они понесли в результате нападения.

Все опрошенных имеют мнение о причинах организации атак на их бизнес:

  • подавляющее большинство считают основным мотивом заказчиков подобных нападений недобросовестную конкуренцию
  • одна пятая опрошенных отметила - атаки могут быть инициированы с целью нанесения убытков по разным причинам, в том числе личным мотивам (месть, неприязнь и т.п.).
  • шантаж - так определили мотивы атак 45% опрошенных
  • развлечение - мнение 10% респондентов.

Все без исключения участники опроса подтвердили наличие средств постоянной защиты от DDoS у компаний, их постоянное использование:

  • 90% опрошенных используют решения сторонних поставщиков.
  • 10% - собственные разработки для этих целей.

Компании редко полагаются на защиту, предоставляемую провайдером телекоммуникационных услуг. Некоторые из опрошенных отметили - специальные средства предоставляет партнёр, системный интегратор, с которым сотрудничает компания по вопросам, связанным с ИТ.

Программные средства противодействия DDoS использует 50% опрошенных компаний, 35% — аппаратные. Остальные 15% не уточнили, какого типа решения используются. При этом 95% заявили об удовлетворенности выбранными решениями и уровнем защиты.

DDoS в сегменте малых и средних компаний онлайн-ритейла РФ

По наблюдениям специалистов Qrator Labs, в сегменте малого онлайн-ритейла ситуация сложилась противоположная: небольшие интернет-магазины в большинстве своём не используют средства противодействия DDoS-атакам.

Как заявила компания, DDoS как инструмент нечестной конкурентной борьбы активно применяется в этом секторе рынка в силу своей эффективности и доступности. Некоторые небольшие компании, испытав DDoS-атаку и потеряв деньги, пытаются заниматься разработкой собственных средств противодействия. При этом, как правило, используются устаревшие алгоритмы и неэффективные приёмы фильтрации, которые ведут к отключению реальных клиентов вместо ботов.


Регулярность атак

Крупные онлайн-ритейлеры относительно редко подвергаются DDoS-атакам, отметила Qrator Labs - -в среднем не более десятка раз за год. Однако, рост их количества в среднем на одного клиента Qrator Labs в 2015 году по сравнению с 2014 составил около 50%.

Исключение составляют периоды сезонной активности и распродаж. В это время нагрузки на сетевые ресурсы ритейлеров растут в результате наплыва покупателей. По данным Qrator Labs, объёмы "живого" трафика в среднем вырастают в такие дни вдвое.

Тренды 2015 года в области DDOS и интернет-безопасности в России и в мире

Сложность атак растет. Хакеры комбинируют различные подходы, прибегая одновременно к DDoS-атакам и атакам на уязвимости приложений.

Главное наблюдение 2015 года — понижение пиковых скоростей DDoS-атак, что, впрочем, не придает оптимизма — поскольку компенсируется ростом их сложности.

Если ранее злоумышленники, как правило, ограничивались одним видом DDoS, то сегодня атаки носят мультивекторный характер (то есть могут быть направлены сразу на несколько сетевых уровней и элементов инфраструктуры), становятся комплексными.

Хакеры наращивают сложность и объединяют DDoS с `взломом`, т.е. атаками на уязвимости приложения. В 84% случаев атака DDoS сопровождается попытками взлома сайта. Таким образом, средства, обеспечивающие только защиту от DDoS, сегодня оказываются недостаточными для обеспечения доступности интернет-ресурса.

Тем не менее, компаниям с комплексным подходом к организации системы противодействия атакам повышенной сложности удается нейтрализовать данные риски вполне успешно (см. кейс платёжного сервиса QIWI ниже в главе `Комбинированные атаки`).

Минимальная стоимость и простота реализации атак.

Устроить DDoS атаку еще никогда не было так дешево: это мероприятие сегодня стоит от $5 в час. Как результат — по сравнению с 2014 годом среднее количество атак на один сайт в 2015 году увеличилось в два раза. Злоумышленники активно используют облачных провайдеров для быстрого получения ресурсов, в том числе бесплатно, с использованием бонусных и триальных программ.

Схожая картина с хакерскими атаками. Благодаря доступности инструментов для поиска и эксплуатации уязвимостей, успешные атаки во многих случаях уже не требуют серьезной экспертизы: за атаками все чаще стоят не профессиональные хакеры, а `середнячки`, которые ищут и эксплуатируют известные уязвимости готовыми инструментами, руководствуясь статьями и видео инструкциями.

Основным вызовом с точки зрения защиты от DDoS стали атаки на уровне приложений (L7).

В 2015 году участились атаки на уровень приложений (L7), которые часто сопровождают DDoS-атаки на канальный уровень (L2). Защита от DDoS-атак на уровне приложений — наиболее сложный случай, требующий максимальной экспертизы и скорости реакции на изменение вектора атаки. При этом хакеры используют интеллектуальные автоматизированные средства, которые исключают возможность противодействия отдельным специалистом на стороне обороны. Сегодня можно говорить о том, что эффективно противостоят DDoS только системы, работающие на основе алгоритмов машинного обучения. Системы, работающие под контролем человека-оператора не в состоянии справиться с современными многовекторными атаками в режиме реального времени без существенных перерывов в обслуживании пользовательского трафика.

Наиболее частым вектором хакерских атак, направленных на `взлом` сайта по-прежнему являются уязвимости типа `SQL-инъекции`. Массовые атаки перебора стали новым вызовом.

Наиболее популярными атаками по-прежнему являются атаки на уязвимости типа SQL-инъекций (37,75% от общего числа атак), когда из-за специальным образом сформированного запроса можно выполнить произвольный запрос к базе данных приложения. Простые в реализации за счет автоматизированных инструментов, они открывают злоумышленникам прямой доступ к базам данных ресурса. Для обхода защитных решений все чаще используют различные способы обфускации (маскировки) вредоносных запросов, что оказывается эффективным в случае WAF’ов, не учитывающих структуру и специфику приложений. В прошедшем году серьезно увеличилось количество атак перебора, в том числе направленных на перебор паролей (21,85%). В России это особенно коснулось интернет-ритейлеров, где злоумышленники в массовых количествах получали доступ к учетным записям, используя базы `логин-пароль`, утекшие из других ресурсов.

Различные группы используют техники массового сканирования интернета.

Массовые сканирования всего интернета перестали быть уделом Google и других поисковых гигантов, и теперь с различными целями осуществляются разными группами людей. Злоумышленники пытаются найти веб-ресурсы, маршрутизаторы, устройства IoT с известными уязвимостями для быстрого и автоматизированного захвата контроля. Эти ресурсы в дальнейшем активно используются для реализации мощных DDoS-атак, анонимизации, майнинга криптовалют и т.д.

Отчет по результатам исследования угроз, которым подверглись ресурсы Рунета в первой половине года

В первой половине 2015 года Qrator Labs с помощью собственного одноименного сервиса нейтрализовала 9 347 DDoS-атак. В аналогичном периоде 2014 года эта цифра составила 2 715. Рост общего числа атак обусловлен как ростом клиентской базы компании, так и существенным повышением активности киберпреступников. Максимальное число атак в день, нейтрализованных сетью фильтрации трафика Qrator, увеличилось с 38 в первом полугодии 2014 до 109 в 2015 году. Также выросло и среднее количество DDoS в день — c 15 до 51, соответственно.

Максимальный размер ботнета, задействованного в атаке, уменьшился с 420 489 до 162 528 машин, а максимальная длительность атаки увеличилась с 91 дня в 2014 году до 122 дней в 2015. Увеличилась также доля Spoofing-атак – с 1 557 до 6 065. Это атаки, в которых вместо IP-адреса реального пользователя подставляется фальшивый.

По сравнению с первым полугодием 2014, в аналогичном периоде 2015 года число атак со скоростью более 1 Гб/с выросло со 198 до 276. Увеличилось количество и высокоскоростных атак – более 100 Гб/с – с 45 до 67, соответственно.

Наметился тренд по уменьшению количества амплификаторов в сети благодаря действиям операторов связи по противодействию данной угрозе. Однако, вопреки прогнозам, этого пока недостаточно, чтобы сократилось число атак с применением амплификаторов. Их всё равно еще слишком много и достаточно для организации атаки полосой в несколько сотен гигабит в секунду. Под амплификатором понимается UDP-сервер, работающий без авторизации, который на небольшой запрос способен посылать в разы больший ответ. Для его использования злоумышленник подделывает адрес отправителя UDP-пакета, подставляя адрес атакуемого сервиса. В результате хакер посылает небольшие пакеты, не очень нагружая свои каналы, а амплификатор отвечает в разы большими в адрес атакуемого сервиса.

Снова появилась тенденция по увеличению числа DDoS-атак на веб-приложения на уровне L7 сетевой модели OSI с использованием классических ботнетов. Такой ботнет может по удалённой команде выполнять сетевые атаки без ведома владельцев зараженных компьютеров. Если раньше ботнеты использовались в основном для рассылки спама, майнинга криптовалют и выполнения примитивных DDoS-атак, то сегодня они стали более серьёзной угрозой безопасности. По прогнозам Qrator Labs, подобных атак в ближайшее время станет еще больше.

Объемные DDoS-атаки стали проводиться все реже, но иногда они опять возвращаются. Яркий пример – атаки с использованием серверов Wordpress.

В первой половине 2015 года компания Wallarm зарегистрировала на 37,8% больше атак на уровень приложений, чем за аналогичный период 2014 года.

Показатель средневзвешенного числа атак на один веб-проект в день также увеличился с 47 до 89 атак. Эта цифра показывает количество автоматизированных инструментов (сканеров), выполняющих анализ в Интернете в непрерывном режиме. Таким образом, можно говорить об увеличивающейся «агрессивности» сети по отношению к сайтам.

Среднее число уязвимостей, обнаруженных Wallarm в первый месяц после подключения нового клиента, увеличилось с 5 до 7 штук. При этом доля критических уязвимостей из них, как и в прошлом году, в среднем составляет 2.

Доля проектов, где за первый месяц не было обнаружено ни одной уязвимости, как и в прошлом году, не превысила 2%.

Зоны риска взломов по отраслям, по сравнению с 2014 годом, выглядят иначе. На первое место выходит игровая индустрия, а лидер прошлого года — электронный банкинг — опустился на 4 позицию.

Рекламные сети испытывали пик интереса со стороны хакеров в 2005-2008 годах. В первом полугодии 2015 эта отрасль сместилась с 5 на 2 позицию. Злоумышленники питают особый интерес к СРА ввиду своей безопасности. Сама партнерская сеть, будучи взломанной, не несет экономические потери, а, напротив, только выигрывает. Хакер, получив доступ к базе данных партнерской сети, увеличивает число показов для своих сайтов. Таким образом, взломщик повышает свои выплаты, не оказывая на самом деле услугу показа рекламных материалов на эту сумму. Система получает комиссию, а расплачиваться за все приходится рекламодателю. Получается интересная ситуация – если произошел взлом СРА сети, то пострадали ее рекламодатели, а сама сеть только заработала больше. Разумеется, в долгосрочной перспективе это несет репутационный ущерб сети, но до этого времени может пройти несколько лет.

Прогнозы на 2015 год

Аналитики Qrator Labs прогнозируют, что количество DDoS-атак вырастет на 20%. Эксперты отмечают, что выросли средние и максимальные размеры ботнетов. И хотя число атак класса DNS/NTP Amplification (ранее занимавшие 50% в структуре атак) снизилось, то теперь злоумышленники акцентируют внимание на сетевой инфраструктуре провайдеров.

В 2015 году эксперты компаний предсказывают рост количества атак на ресурсы, использующие облачную инфраструктуру (в том числе Amazon Web Services), взлом и заражение устройств Internet of Things - Интернета вещей, появление новых уязвимостей SSL, а также атаки на базы данных NoSQL.

Неблагоприятные тенденции в экономике также найдут свое отражение в статистике DDoS-атак. DDoS может стать инструментом мести за увольнение или же число атак может увеличится из-за новых сотрудников департаментов ИТ, не имеющих достаточного опыта.

Также ожидается, что российские компании последуют курсом импортозамещения и будут приобретать решения отечественных вендоров, сертифицированных ФСТЭК и ФСБ.

IDC: Рост российского рынка услуг по защите от DDoS-атак на 35%

29 сентября 2016 года аналитическая компания IDC представила, как она утверждает, первое в России исследование рынка услуг по защите от DDoS-атак (Russia Anti-DDoS Services Market 2016–2020 Forecast and 2015 Analysis). Он демонстрирует сильный рост и, скорее всего, сохранит положительную динамику в последующие годы.

Согласно отчету IDC, в 2015 году продажи услуг по защите от DDoS-атак в России достигли $16,34 млн, увеличившись на 25,4% в сравнении с 2014 годом. В рублевом выражении объем рынка подскочил еще сильнее — на 34,7%.

В 2015 году российский рынок услуг по защите от DDoS-атак вырос на 35%

Крупнейшим поставщиком услуг по защите от DDoS-атак в РФ по итогам 2015 года эксперты назвали компанию Qrator Labs. За ней расположились «Лаборатория Касперского» и «Ростелеком». На долю тройки лидеров пришлось почти три четверти рассматриваемого рынка.

По словам специалистов, российский бизнес давно страдает от DDoS-атак, так что локальный рынок услуг по защите от таких нападений останется растущим.

Опубликованное в сентябре 2016 года исследование, которое было проведено «Лабораторией Касперского» и компанией B2B International, показало, что около 77% компаний в России неоднократно испытывают на себе действие DDOS-атак в течение года.

« Среди всех киберугроз DDoS-атаки всегда были большой проблемой для российских компаний и организаций всех размеров из разных сегментов рынка. С растущими сложностью и частотой DDoS-атак рынок услуг по их предотвращению будет стабильно расти в течение ближайших пяти лет, — сообщил старший аналитик «IDC Россия и СНГ» Денис Масленников. »

Составленное IDC исследование называется Russia Anti-DDoS Services Market 2016–2020 Forecast and 2015 Analysis. В отчете представлены данные о самом рынке в целом, его структуре и развитию, а также обзор основных поставщиков услуг по защите от DDoS-атак в России.

2014

Infonetics Research: Мировой рынок средств защиты от DDoS-атак

По данным отчета Infonetics Research за первый квартал 2014 года, лидером в этой области является Arbor, которая контролирует 53% мирового рынка средств защиты от DDoS-атак в корпоративном сегменте (с решением Pravail) и 67% в операторском секторе (Peakflow SP). Соответственно по 8 и 10% выручки в тех же рыночных сегментах приходится на долю Radware, а третий крупный игрок — Narus — обслуживает 7% корпоративных и 9% операторских заказов. Общий объем рынка за указанный период составил 91,5 млн долл.

Данные Qrator Labs

12 марта 2015 года стали известны результаты исследования киберугроз[14], проведенного по итогам 2014 года компаниями Qrator Labs и Wallarm[15].

По оценке компании Qrator Labs, представленной в марте 2015 года, 2014 год по количеству высокоскоростных DDoS-атак стал пиковым. Увеличилось и среднее количество DDoS-атак в день: c 18 до 28. Аналитики Qrator Labs считают, что в 2014 году произошел феноменальный рост количества атак со скоростью свыше 100 Гбит/сек. Прогнозируется, что количество таких атак в 2015 году снизится. Эксперты отметили многократный рост инцидентов, связанных с DDoS-атаками за последние 5 лет, атак повышенной сложности, что предполагает возможность увеличения числа атак в 2015 году, минимум на 20%. Рост количества атак связывают, в основном, с обострением конкурентной борьбы.

В 2014 году Qrator Labs с помощью собственного одноименного сервиса нейтрализовала 9,519 DDoS-атак. Максимальное число атак в день, направленных на клиентов компании, сократилось со 151 до 131. Среднее количество DDoS-атак в день возросло c 18 до 28.

По словам Александра Лямина, руководителя Qrator Labs, в 2014 году наблюдался рост числа атак повышенной сложности – со скоростью более 100 Гбит/с. В 2015 году высокоскоростные атаки (более 100 Гбит/с) пойдут на спад – пик пройден в 2014 году.

В конкретном случае разговор идет об атаках на входящий канал провайдера с целью: забить его «паразитным» трафиком. Атак такого типа стало меньше, но существенно выросли скорости. В зону риска попадают небольшие операторы связи и хостинг-компании. Доля атак со скоростью более 1 Гбит/с возросла с 2,58% в 2013 году до 5,47% в 2014 году. В 2014 году практически с «нуля» значительно выросли доли атак со скоростью более 10 Гбит/с (с 0,7% до 2,72%), то есть, они наблюдались примерно каждый рабочий день. Число атак более 100 Гбит/с выросло в 11 раз (с 0,1% до 1,32%). Специалисты Qrator отметили, что одной из тенденций, способствующих этому стало упрощение технологии организации DDoS-атак.

DDoS-атаки с помощью ботнетов на серверы и операционные системы остаются по-прежнему наиболее популярными среди злоумышленников. Александр Лямин отметил рост в 2014 году средних и максимальных размеров наблюдаемых ботнетов, что, по его мнению, говорит о возвращении ботнетов-монстров.

Наметился общий тренд по снижению атак класса DNS/NTP Amplification, на которые ранее приходилось более половины всех инцидентов, но злоумышленники активнее начинают нападать на сетевую инфраструктуру операторов.

Общее количество атак, зарегистрированных на компании—клиенты Wallarm в 2014 году, превышает 750 000. По словам Ивана Новикова, генерального директора Wallarm, в зону риска в 2014-2015 году попали индустрия игр, рекламные сети CPA, электронная коммерция (магазины и аукционы), платежные системы и банки, СМИ. При этом если платежные системы и банки, интернет-ритейлеры и СМИ всегда были целью атак, то теперь заметно возросла активность злоумышленников в секторах, где к информационной безопасности раньше не было повышенного внимания.


Самыми распространенным остаются атаки с помощью ботнетов на сервера и ОС для исчерпания ресурсов сервера. На 50% в 2014 году вырос максимальный размер ботнета, задействованном в одной атаке: с 281 тыс. до 420 тыс. машин. Размер среднего ботнета показал 27% рост (с 1,5 тыс. до 1,9 тыс. машин).

«В 2014 году мы наблюдали случаи нападения непосредственно на сетевую инфраструктуру операторов, к которым они оказались не готовы. Есть гипотеза, что злоумышленники взяли под контроль большое количество чужого мощного сетевого оборудования - несколько сотен тысяч подключенных к Интернету маршрутизаторов и коммутаторов по всему миру, чьи владельцы не поменяли пароль с заводского, установленного по умолчанию. Теперь эти ресурсы без ведома их хозяев используются для масштабных нападений такого рода», - цитирует руководителя Qrator Labs Александра Лямина «Российская Газета».

График агрессивности, 2014

Кроме того, Qrator.RadarRadarLabs по итогам 2014 года зафиксировала рост частоты объемных Volumetric-атак, используемых как адресный инструмент против крупных целей. Широкое распространение этого вида DDoS специалисты Qrator Labs связывают с тем, что технологии атаки стали доступны низкоквалифицированным специалистам.


Массовому распространению способствовало упрощение технологии организации, а также снижение себестоимости Volumetric-атак, в том числе за счет возможности привлекать низкоквалифицированных специалистов. В настоящее время стоимость одной такой атаки снизилась до 10-50 долларов в сутки за 1 ГБ полосу. Наиболее распространенным остается метод усиления (Amplification), используемый для отправки длинных запросов ошибки в конфигурации DNS-серверов. Если раньше для организации объемной атаки требовалось формировать ботнет, то теперь возможность подделать IP-адрес жертвы и отправить запрос на уязвимый DNS-сервер позволяет злоумышленникам тратить значительно меньше ресурсов, в том числе времени на организацию атаки. Судя по всему, детальная схема реализации этих атак становится широкодоступной. В 2013 году популярным инструментом для Volumetric-атак были DNS-амплифиакторы. В 2014 году киберпреступники чаще использовали NTP- и SSDP-амплификаторы.

«График таких объемных атак перестал быть дискретным, и превратился в большую сплошную волну с красивым фронтом. Мы связываем это с тем, что инструменты, реализующие Volumetric-атаки, доступные раньше отдельным группам, вышли на массовый «хакерский рынок»», — прокомментировал Лямин Александр , руководитель Qrator Labs.

Данные Wallarm

Согласно исследованию Wallarm, в 2014 году топ-фаворитов по количеству атак распределился следующим образом: базы данных (атаки в 35% случаев), атаки на клиентов/пользователей веб-сайтов (28%) и различные векторы атаки с возможностью удаленного исполнения кода на сервере (19%).

Данные «Лаборатории Касперского»

«Лаборатория Касперского» зафиксировала весной 2014 года новый скачок мощности DDoS-атак в рунете. Во время весенней «кампании» злоумышленников, избравших в качестве своей цели сразу несколько ведущих российских банков, крупных компаний и государственных учреждений, средняя мощность атаки составляла 70-80 Гбит/с. Год назад самая мощная DDoS-атака в рунете не превышала порога в 60 Гбит/с.

В антивирусной компании считают, что увеличение мощности DDoS-атак стало следствием распространения среди киберзлоумышленников нового метода NTP Amplification. Атаки этого типа имеют коэффициент усиления до 556 раз. Для сравнения, нашумевшие год назад атаки типа DNS Amplification имеют коэффициент усиления в 10 раз меньше — до 54 раз.

Именно атаки типа NTP Amplification наряду с широко распространенными SYN Flood применялись киберпреступниками во время весенней волны DDoS-атак, затронувшей крупнейшие банковские структуры России, в том числе Альфа-Банк и ВТБ24, федеральные министерства, одну из крупнейших российских авиакомпаний «Аэрофлот», телеканал Russia Today и другие организации. В пиковые моменты мощность атак доходила до 120 Гб/с.

Жертвами DDoS-атак за 2013-2014 годы (октябрь-ноябрь) стали 52% российских компаний, онлайн-сервисы которых критичны для бизнеса – среди них интернет-магазины, СМИ и финансовые учреждения. Таковы результаты исследования, проведенного «Лабораторией Касперского» совместно с компанией B2B International. Это свидетельствует о том, что атаки типа DDoS набирают популярность и уже стали привычным явлением для интернет-бизнеса.

Количество пострадавших варьируется в зависимости от географической принадлежности и сферы деятельности компаний. В России в список наиболее страдающих от DDoS-атак отраслей входят финансы, электронная коммерция и СМИ. Так, среди финансовых организаций 42% опрошенных сообщили, что столкнулись с подобными инцидентами за последний год.

Последствия DDoS-атак могут быть различными в зависимости от их мощности и длительности. Даже если злоумышленникам не удается полностью лишить пользователя доступа к информационным ресурсам компании, их частичная недоступность также является серьезной проблемой. Почти половина респондентов (43%) заявили, что атакованный сайт был недоступен в течение нескольких часов, а 19% опрошенных отметили недоступность веб-ресурса в течение двух дней.

12 марта 2015 года «Лаборатория Касперского» и B2B International поделились результатами исследования размеров убытков в результате DDoS-атаки на онлайн-ресурс компании[14].

% компаний, столкнувшихся с разновидностями DDOS-атак за 12 месяцев, 2015

Согласно этому исследованию, в котором приняли участие 3,9 тыс. респондентов из 27 стран, убытки могут составить в среднем от $52 тыс. до $444 тыс., в зависимости от размера компании. К расходам по устранению последствий подобных атак добавляются репутационные потери и издержки, вызванные недоступностью публичного онлайн-ресурса для партнеров и клиентов.

Рассчитанная экспертами сумма убытков включает несколько статей:

  • 61% пострадавших компаний временно теряли доступ к критичной для бизнеса информации из-за DDoS-атаки,
  • 38% не имели возможности продолжать основную деятельность,
  • 33% сообщили об упущенных бизнес-возможностях и контрактах.

Кроме того, в 29% случаев успешные атаки негативно сказались на кредитном рейтинге, у 26% компаний выросли страховые взносы.

В среднюю сумму ущерба от DDoS-атаки вошли расходы на устранение последствий инцидента. Например, 65% компаний вынуждены были воспользоваться услугами консультантов по информационной безопасности, 49% оплачивали работы по изменению собственной ИТ-инфраструктуры, 46% обращались к юристам, 41% — к консультантам по риск-менеджменту. И это только самые распространенные статьи расходов.

Полный текст исследования (англ.)

«Успешная DDoS-атака может вывести из строя критически важные для бизнеса сервисы, что влечет за собой серьезные последствия для компании. Например, мы фиксируем случаи, когда атаки на банки приводили не только к нарушению работы онлайн-сервисов в течение нескольких дней, но и к перебоям в обслуживании банковских карт и нарушению работы банкоматов», - рассказал «Российской Газете» менеджер направления Kaspersky DDoS Prevention «Лаборатории Касперского» Алексей Киселев.

По мнению экспертов, со второй половины 2014 года DDoS-атаки стали средством борьбы с конкурентами: «Стоимость атаки не велика, контакты исполнителей легко можно найти, при этом заказчик, как правило, остается неузнанным. Так, начиная с сентября 2014 года количество обращений к нам со стороны организаций, подвергшихся подобного рода атакам, сильно возросло, чего не наблюдалось ранее. Также на рост подобных атак, безусловно, влияет политическая ситуация в стране и в мире и возможные попытки сэкономить на решениях по безопасности в условиях кризиса», - добавляет руководитель направления Kaspersky DDoS Prevention «Лаборатории Касперского» Евгений Виговский.

Уязвимость Simple Service Discovery Protocol превращает миллионы точек доступа, веб-камер и принтеров в инструменты DDoS-атак

Специалисты компании PLXsert сообщили в октябре 2014 года об идущих с июля 2014 года массовых DDoS-атаках, осуществляемых с использованием уязвимости протокола Simple Service Discovery Protocol, который применяется для объявления доступности миллионами устройств, поддерживающих стандарт Universal Plug and Play, — домашними маршрутизаторами, точками доступа, кабельными модемами, веб-камерами, принтерами и т. п. Атака организуется путем передачи специально подготовленного пакета SOAP на уязвимое устройство, в результате чего то отправляет ответный пакет по заданному адресу[16].

Поскольку многие из уязвимых устройств — потребительские, маловероятно, что на них будут установлены заплаты, а в некоторых случаях такая возможность даже не предусмотрена. Учитывая это, специалисты PLXSert прогнозируют, что будут разрабатываться все новые инструменты, облегчающие организацию атак с помощью уязвимых протоколов и создание ботнетов. Такие атаки будет трудно подавлять, поскольку пакеты могут исходить одновременно из массы различных точек.

Чтобы устройство нельзя было задействовать в подобной атаке, специалисты PLXSert рекомендуют заблокировать трафик на порту 1900, используемом уязвимыми протоколами, если UPnP не нужен. В противном случае помогут только заплаты.

Данные Arbor Networks

Компания Arbor Networks представила летом 2014 года данные о DDoS-атаках в глобальной сети в первом полугодии 2014. Статистика неутешительна: и число, и интенсивность атак продолжают стабильно расти.

Так, число DDoS-атак, превышавших на пике трафик в 20 Гб/с, только за первые шесть месяцев нынешнего года превысило общее их число за весь 2013 год. А более чем сто атак первого полугодия 2014 превысили и показатель в 100 Гб/с.

Самая мощная из отмеченных Arbor Networks атак достигала на пике трафика в 154.69 Гб/с и была направлена против цели в Испании. Она использовала принцип отражения запросов NTP. Это сравнительно новая техника атак, основанная на использовании протокола NTP, служащего для синхронизации часов на компьютерах. Протокол NTP отличает то, что на достаточно короткие запросы он выдает развернутые ответы. Соответственно, подделав запрос и указав в нем в качестве отправителя адрес жертвы, можно генерировать очень высокий трафик на указанный IP-адрес. Такие атаки оказались очень популярны в первом полугодии, хотя наибольшее их число пришлось все же на первый квартал-2014. Также обращает на себя внимание рост продолжительности DDos-атак уже в течение этого года. Если в первом квартале средняя атака с объемом трафика свыше 10 Гб/с длилась порядка 54 минут, то во втором – уже 98 минут.

Генеральный директор Технического центра Интернет Алексей Платонов отметил: «DDoS-атаки стали основным «грубым» оружием в корпоративных интернет-войнах, такой дубиной информационной войны. Большие компании стали принимать меры для того, чтобы снизить ущерб от DDoS, но они рассчитаны только на определенную мощность атаки. Соответственно, злоумышленники наращивают мощность, чтобы пробить защиту – идет классическое соревнование брони и снаряда».

2013

Radware: Организации используют устаревшие методы защиты

Из отчёта Radware (2013) Глобальный отчет по безопасности сетей и приложений

Здесь мы подразумеваем, что они вступают в бой за безопасность без понимания истинной природы атаки, что не позволяет им принять адекватные меры по подготовке. Они вкладывают средства в подготовку на этапе, предшествующем атаке, и замечательно анализируют ситуацию после атаки. Однако, организации имеют критический недостаток – у них нет возможностей или ресурсов для защиты в активной фазе атаки, они не могут противостоять длительной кампании, в которой используются изощренные методы атак. Злоумышленники, с другой стороны, знают об этом пробеле и используют его в своих интересах. Результатом являются перебои в доступности услуг, даже среди наиболее уважаемых онлайн-бизнесов.

Prolexic: Средняя мощность DDoS-атак в этом году выросла в восемь раз

По оценкам специалистов компании Prolexic, занимающейся организацией защиты от распределенных атак, направленных на отказ в обслуживании, в первом квартале 2013 года средняя мощность DDoS-атак составила 48,25 Гбит/с. Это в восемь раз больше, чем в последнем квартале прошлого года.

Мощность атаки на антиспамерскую организацию Spamhaus, оцененная в 300 Гбит/с, как считают в Prolexic, сильно преувеличена, но в марте Prolexic пришлось отражать атаку в 130 Гбит/с. Примерно 25% атак на сайты клиентов Prolexic в первом квартале не превышали по мощности 1 Гбит/с. Однако 11% атак проводилось с мощностью свыше 60 Гбит/с. Организованность и техническая оснащенность атакующих растет, отмечают специалисты. Повысился не только общий объем данных, которыми в ходе DDoS-атаки перегружают канал доступа в Интернет, но и частота отправки пакетов, что создает проблемы не только у непосредственной жертвы атаки, но и у провайдеров, магистральных операторов и компаний, занятых отражением атак.

Количество атак в первом квартале выросло на 1,75% по сравнению с предыдущим кварталом и на 21,75% — по сравнению с первым кварталом 2012 года. При этом выросла доля атак на инфраструктуру провайдеров и операторов связи.

Kaspersky DDoS Prevention: усиление мощности атак и увеличение их продолжительности

Специалисты «Лаборатории Касперского» подвели осенью 2013 года итоги DDoS-активности в Рунете за последние 12 месяцев. Сравнив данные, полученные с помощью защитного сервиса Kaspersky DDoS Prevention и собственной системы мониторинга ботнетов во втором полугодии 2012 года и первой половине 2013 года, эксперты выявили две тенденции: усиление мощности атак и увеличение их продолжительности.

Так, во второй половине 2012 года средняя мощность атаки составляла 34 Мб/с, а в начале этого года планка поднялась до 2,3 Гб/с. При этом максимальная мощность атак в этом полугодии доходила до 60 Гб/с «благодаря» набирающим в этому году популярность атакам типа DNS Amplification. Для сравнения: максимальная мощность DDoS-атаки во втором полугодии 2012 года составила всего лишь 196 Мб/с.

Продолжительность DDoS-атак в Рунете также выросла в текущем году. Если в прошлом отчетном периоде специалисты «Лаборатории Касперского» установили, что средняя атака на защищаемые сервисом Kaspersky DDoS Prevention ресурсы длилась 7 часов, то в 2013 году они отметили, что этот показатель вырос до 14 часов.

Как свидетельствуют данные, полученные экспертами «Лаборатории Касперского» на основе срабатывания сервиса Kaspersky DDoS Prevention, большинство ботов или хостов, атакующих веб-ресурсы Рунета, расположены непосредственно на территории России (около 44%). Немалая часть атак также «приходит» в русскоязычное интернет-пространство из США (около 7,5%) и с Украины (чуть больше 5%). В целом из 10 стран, занявших верхние строчки этого нерадостного рейтинга, 7 находятся в Азии.

Злоумышленники, чтобы обеспечить недоступность ресурса и заработать деньги, используют различные виды атак, зачастую их комбинируя. Большинство видов атак воздействуют только на конкретный ресурс. Но в погоне за наживой злоумышленники готовы применить инструмент, способный сделать в Интернете недоступным все, что угодно: от отдельного провайдера до сегмента сети. Это своего рода виртуальное оружие массового поражения.

Распространение атак типа DNS Amplification и усиление мощности и размаха DDoS-инцидентов позволяет специалистам говорить о смене тенденции: судя по всему, Рунет перестает быть своего рода «заповедником», где мощные атаки были редки, а интернет-провайдеры и хостеры могли обходиться без интеллектуального контроля трафика. Отличие показателей по DDoS-активности в Рунете и в остальном интернет-мире стремительно сокращается.

НАИРИТ: Число DDoS-атак на объекты в РФ в 2013 г. выросло на 178%

Количество DDoS-атак на государственные и коммерческие инфраструктурные институты России в 2013 г. выросло на 178%, тогда как в прежние годы их темпы роста не превышали в среднем 15%, согласно данным Национальной ассоциации инноваций и развития информационных технологий (НАИРИТ).

Доклад об угрозах информационной безопасности объектов инфраструктуры российской экономики был подготовлен экспертами НАИРИТ совместно с Институтом системного анализа РАН и Институтом социально-экономической модернизации. Результаты исследования были доложены на заседании комиссии Государственной думы РФ по развитию стратегических информационных систем.

Как следует из доклада, общий объем потерь отечественной экономики от попыток незаконного электронного вмешательства за 2013 г. превысил 1,3 трлн руб.

Количество DDoS-атак на банки и финансовый сектор в 2013 году выросло на 112% по сравнению с 2012 годом. Об этом рассказала президент Национальной ассоциации инноваций и развития информационных технологий Ольга Ускова в ходе «круглого стола» в Госдуме на тему «Проблемы развития стратегических информационных систем в банковской и финансовой сферах. Законодательные аспекты».

Ранее количество DDoS-атак на финансовый сектор росло умеренными темпами. В 2012 год показатель вырос всего на 11%, в 2011 году — на 8%.

Данные Arbor Networks

Как показало специальное исследование Arbor Networks, характер угроз, связанных с распределенными атаками, меняется во всем мире. По результатам опроса, проведенного в 2013 году, около 70% респондентов, пользующихся услугами ЦОД, сообщили, что столкнулись с DDoS-атаками (в 2012 году таковых было 50%). Одновременно зарегистрировано большое количество атак мощностью свыше 100 Гбит/с. Это весьма дорогостоящие «мероприятия» для рядового злоумышленника, и их обычно организуют «заказчики», активно криминализующие сообщество хакеров, все чаще в политических целях. Значительная часть зарегистрированных инцидентов была направлена на отказ работы приложений — такие атаки теперь наблюдаются регулярно. На 17% увеличилось и число атак на соединения SSL. Около трети респондентов столкнулось с нападениями на DNS-инфраструктуру.

Массированным атакам в 2013 году подвергались ресурсы российских компаний. Достаточно вспомнить серию DDoS-нападений на веб-сайты пяти крупнейших российских банков: в период с 1 по 7 октября 2013 года были атакованы «Альфа-Банк», «Газпромбанк», ВТБ, Сбербанк и Центробанк России. Однако, с тех пор как украинский кризис перешел в острую фазу, число DDoS-атак на ресурсы российских организаций выросло в разы, отмечали участники конференции.

Программно-аппаратные комплексы для защиты от таких атак предлагают несколько компаний: Arbor Networks, Radware, Check Point, а также российская «МФИ Софт». Кроме того, «Лаборатория Касперского», BIFIT, Group-IB и Qrator.Radar предоставляют клиентам облачные сервисы защиты от DDoS.

2012

Что думают о DDos-атаках в России

Еженедельник PC Week/RE провел весной 2012 года среди своих читателей опрос с целью выяснить, насколько корпоративные компьютерные пользователи России нуждаются в защите от DDoS-атак.

Более половины (56%) ответивших считают, что защита им нужна, и готовы организовать ее на стороне своей корпоративной сети передачи данных. Примерно 25% опрошенных предъявили еще более высокие требования к защите от DDoS-атак — они хотят иметь ее как на своей стороне, так и на стороне обслуживающего их оператора связи. Около 5% принявших участия в опросе представителей российских компаний хотят потреблять эту защиты в виде услуги и всецело полагаются в ее организации на силы внешних провайдеров.

По результатам опроса можно сделать однозначный вывод, что защита от DDoS-атак российским компаниям нужна — ведь только 12% принявших участие в опросе готовы отказаться от нее (оставшиеся 2% респондентов пока еще не определились с этим). Существенно, что 59% опрошенных работают в крупных (по российским масштабам) структурах, в которых количество компьютеризированных рабочих мест превышает 500; 32% респондентов опроса представляли фирмы с количеством рабочих компьютеров от 25 до 500; 9% участников опроса относятся к сегменту небольших организаций с количеством компьютеров менее 25. Наибольшую активность в опросе проявили госслужащие — их 63%; 29% участников из частного сектора; оставшиеся 8% респондентов работают в структурах с иной формой собственности.

Украина: DDoS-атака – как метод конкурентной борьбы

Около половины DDoS-атак, совершенных на Украине в I полугодии 2012 г., приходилось на сайты представителей бизнеса и торговые площадки. В целом, эксперты зафиксировали 111 атак в украинском сегменте Интернета. Самая продолжительная DDoS-атака в украинском сегменте Интернета длилась более 13 суток.

В мировом масштабе доля Украины как источника DDoS-атак снизилась до 2,8% по сравнению с 12% во II полугодии 2011 г..

Чаще всего заказчиками DDoS-атак являются конкуренты, считают в «Лаборатории Касперского». Дела, открытые правоохранительными органами по факту DDoS-атак, очень редко доходят до суда, признает источник в управлении по борьбе с киберпреступностью МВД. В государственном реестре судебных решений удалось найти лишь одно решение по делу о DDoS-атаке: за блокировку работы платежных систем «ОСМП» и «КиберПлат» в 2009 г. злоумышленник из Белой Церкви был приговорен к трем годам лишения свободы с испытательным сроком в два года.

По оценкам участников рынка, убытки крупных интернет-магазинов от DDoS-атак могут составлять до 300 тыс. долл. в день.

Основная масса хакеров, предоставляющих подобные услуги, – молодые непрофессионалы-одиночки, занимающиеся заражением компьютеров с помощью разработанных самостоятельно или купленных программ, рассказывает администратор «Украинской сети обмена трафиком» (UA-IX) Сергей Полищук. Однако на Украине работают и международные хакерские группировки, управляющие сетями по всему миру. Так, в июле сотрудники российской компании Group-IB заблокировали шесть распложенных в Украине серверов бот-сети Grum, считающейся третьей по величине в мире.

«Положить» сайт на сутки можно за 50-1000 долл. США в зависимости от его посещаемости и уровня защиты серверов. Программу для организации ботнета можно купить за 150 долл. США. Специалисты принимают оплату посредством большинства электронных платежных систем. В Group-IB оценивают доходы хакеров стран СНГ и Прибалтики в 2011 г. в 4,5 млрд долл. США

Легализация DDoS-атаки

Нидерландская оппозиционная социально-либеральная партия «Демократы 66» выступила летом 2012 года с обескураживающей инициативой, предложив легализовать DDoS-атаки и другие формы проявления несогласия в Интернете и придать им статус акций протеста, закрепив право на подобные «выступления» в Конституции, правда, с ограничениями. Об этом со ссылкой на местные СМИ сообщает агентство РБК.

Однако порядок и реализация форм онлайн-протеста должны быть четко прописаны в законодательстве, отмечают "Демократы 66". Так или иначе, по словам одного из членов партии, Киса Верховена, подобные атаки являются своеобразной демонстрацией, и у него вызывает удивление тот факт, что фундаментальные конституционные права граждан до сих пор не получили распространения в Интернете.

«Демократы 66» уже в ближайшее время планируют завершить работу над законопроектом, после чего он будет внесен на рассмотрение в парламент. В нижней палате парламента страны заседают десять членов партии, в верхней — пять. Позиция других парламентариев не известна.

См. также

Примечания

  1. Что делать, если все методы борьбы с DDoS не работают?
  2. 10 STEPS to Mitigate a DDoS Attack in Real Time
  3. Доступность - возможность оператора получать пакеты данных от других операторов. Необходимым условием доступности является наличие префиксов оператора в таблице маршрутизации других операторов связи. Если префиксов нет, пакеты оператору отправить невозможно
  4. Более устойчивым считается тот национальный сегмент, в котором меньше всего префиксов операторов теряют глобальную доступность при возможном отказе сети одного оператора
  5. ЦБ подтвердил сообщения о DDoS-атаках на крупные российские банки
  6. Пять крупных российских банков подверглись DDoS-атаке. Главное
  7. CNews: В половине Америки «лег» интернет
  8. Extensive DDoS attack against Dyn restarts, could indicate a new use of old criminal tech
  9. Meduza: https://meduza.io/feature/2016/10/24/ddos-ataka-iz-za-kotoroy-ne-rabotali-twitter-spotify-i-drugie-servisy-kto-vinovat
  10. COMPLAINT FOR PERMANENT INJUNCTION AND OTHER EQUITABLE RELIEF
  11. Федеральная торговая комиссия США подала в суд на D-Link
  12. DDoS attacks increase 83%, Russia top victim
  13. Каждый четвертый российский банк столкнулся с DDoS-атаками в 2015 году
  14. 14,0 14,1 Исследование основано на анализе трафика, проходящего через сеть фильтров Qrator.Radar Qrator с использованием интеллектуальных алгоритмов выявления попыток DDoS-атак (разработка Qrator Labs) и попыток взлома веб-приложений (разработка Wallarm). Также компании анализируют происходящее за пределами сети фильтрации, собирая информацию от операторов телекома посредством инструмента Qrator Radar, предназначенного для оптимизации работы и проектирования сетей
  15. DDoS-атаки разгоняются
  16. Уязвимость Simple Service Discovery Protocol превращает миллионы точек доступа, веб-камер и принтеров в инструменты DDoS-атак


TAdviser рекомендует

29 марта, Ср.


Бета
Лидеры по внедрениям ИТ в корпоративном секторе

Добавить: