DDoS-атаки разгоняются

Исследование основано на анализе трафика, который проходит через сеть фильтрации Qrator с использованием интеллектуальных алгоритмов выявления попыток DDoS-атак (разработка Qrator Labs) и попыток взлома web-приложений (разработка Wallarm). Также компании анализируют то, что происходит за пределами сети фильтрации трафика Qrator, собирая информацию от телекомоператоров, посредством собственного инструмента Qrator Radar, предназначенного для оптимизации работы и проектирования сетей.

В 2014 году Qrator Labs с помощью собственного одноименного сервиса нейтрализовала 9 519 DDoS-атак. Максимальное число атак в день, приходившихся на клиентов компании, сократилось со 151 до 131. Среднее количество DDoS-атак в день увеличилось — c 18 до 28. 

По словам Александра Лямина, руководителя Qrator Labs, в 2014 году наблюдался рост числа атак повышенной сложности – со скоростью более 100 Гбит/сек. В 2015 году высокоскоростные атаки (более 100 Гбит/сек) пойдут на спад – пик был пройден в 2014 году. 

В данном случае речь идет об атаках на входящий канал провайдера с целью забить его «паразитным» трафиком. Атак такого типа стало меньше, однако существенно выросли скорости. В результате зону риска попадают небольшие операторы связи и хостинг-компании. Доля атак со скоростью более 1 Гбит/с возросла с 2,58% в 2013 году до 5,47% в 2014 году. В 2014 году практически с «нулевой» отметки значительно выросли доли атак со скоростью более 10 Гбит/с (с 0,7% до 2,72%), то есть, они наблюдались примерно каждый рабочий день.  Число атак более 100 Гбит/с выросло в 11 раз (с 0,1% до 1,32%).  Специалисты Qrator отмечают, что одной из тенденций, способствующих этому стало упрощение технологии организации DDoS-атак.

DDoS-атаки с помощью ботнетов на сервера и операционные системы остаются по-прежнему наиболее популярными среди злоумышленников. Александр Лямин отметил, что в 2014 году выросли средние и максимальные размеры наблюдаемых ботнетов, что говорит о возвращении ботнетов-монстров.  Максимальный размер ботнета, задействованного в одной атаке в 2014 году, вырос с 281 060 до 420 489 машин (+50%) вследствие роста числа атак типа Wordpress Pingback DDoS, при этом размер среднего ботнета увеличился незначительно — с 1 540 до 1962 зараженных машин (+27,5%). В 2015 году можно ожидать их дальнейшего роста.

Наметился общий тренд по снижению атак класса DNS/NTP Amplification, на которые ранее приходилось более половины всех инцидентов, но злоумышленники более активно начинают нападать на сетевую инфраструктуру операторов.

Общее количество атак, которые были зарегистрированы на компании — клиенты Wallarm в 2014 году, превышает 750 000. По словам Ивана Новикова, генерального директора Wallarm, в зону риска в 2014-2015 году попали игровая индустрия, рекламные сети CPA, электронная коммерция (магазины и аукционы),  платежные системы и банки, СМИ. При этом если платежные системы и банки, интернет-ритейлеры и СМИ всегда были целью атак, то сейчас заметно увеличилась активность злоумышленников в секторах, где к информационной безопасности раньше не было повышенного внимания.

Наибольшее количество (35% от общего числа) приходится на атаки, целью которых являются базы данных (так называемые SQL- и NoSQL-инъекции). Атаки на клиентов (пользователей веб-сайтов) представлены в основном межсайтовым выполнением сценариев (так называемые XSS — Cross Site Scripting), число таких атак составляет 28%. На третьем месте находятся различные векторы атаки с возможностью удаленного исполнения кода на сервере (около 18,6%). Общее число атак растет, что может быть связано с геополитической ситуацией и с кризисными явлениями в экономике, как это было в 2008–2009 годах.  В 2015 году можно прогнозировать увеличение количества атак на ресурсы, использующие облачную инфраструктуру (в том числе Amazon Web Services), взлом и заражение устройств Internet of Things, появление новых уязвимостей SSL, а также атаки на базы данных NoSQL.