Во втором квартале зафиксирован серьезный рост UDP flood атак
Векторы атак
Зафиксирован серьезный рост UDP flood атак, на долю которых пришлось более половины нападений – 53,04%. Именно UDP flood используется для генерации большого количества флуда из-за большого числа уязвимых серверов. Рост этого сегмента обусловлен увеличением доли атак полосой 10-100 Гбит/сек – это класс высокоскоростных атак, для организации которых часто используется техника Amplification публичных UDP-сервисов.
Более сложные атаки, такие как SYN flood, также не сдают своих позиций: их доля во втором квартале составила 11,9%. Такие атаки опасны тем, что приводят в беспорядок инфраструктуру, «выключают» отдельные устройства, и бороться с ними путем простого сброса трафика не получается – для этого требуются более «умные» методы фильтрации.
Теперь три основных “чистых” вектора атак – это UDP, IP и SYN-флуд, на которые приходится 78% всех DDoS-атак второго квартала.
Длительность атак
Во втором квартале медианное время атаки составило 270 секунд, что близко к наблюдениям за 2020 год, когда этот показатель равнялся 300 секундам. По сравнению с первым кварталом 2021 года, медианное время атаки выросло значительно – со 180 секунд.
Среднее время атаки выросло еще существеннее - с ~700 секунд в первом квартале до почти 2000 секунд во втором, увеличившись почти трехкратно.
Большая продолжительность была почти универсальным правилом для атак второго квартала 2021 года. По сравнению с первым кварталом, во втором даже самые короткие атаки удвоились в продолжительности.
Полоса атак
Средняя пропускная способность всех DDoS-атак второго квартала 2021 года составила 6,5 Гбит/с. В первом квартале эта цифра была чуть выше – 9,15 Гбит/с, тогда как в четвертом квартале 2020 года данный показатель составил лишь 4,47 Гбит/с.
Впечатляет, особенно учитывая, что почти во всем мире май и июнь можно считать отпускными месяцами. А с увеличением продолжительности атаки это еще более тревожная, хотя и ожидаемая тенденция.
Самый большой ботнет
Размер наибольшего наблюдаемого ботнета вырос практически в 2 раза: с 73 892 машин в 1 квартале 2021 года до 137 696 – во втором. Большинство заблокированных IP-адресов, из которых состоял данный ботнет, были из Вьетнама, Индии, Индонезии и Таиланда.
Распределение атак по полосе пропускания
В Интернете полоса пропускания постоянно растёт, каналы увеличиваются, поэтому если раньше многие атаки были меньше по полосе пропускания просто потому, что они «забивали» локальную последнюю милю, то теперь последняя миля – это оптоволокно в каждый дом, по гигабиту в каждую квартиру и даже в каждый телефон, поскольку развертывание сетей 5G идет семимильными шагами. Все это приводит к тому, что тихо и незаметно даже самые рядовые, не исключительные атаки начинают переходить из сегмента с полосой пропускания 1-10 Гб/сек, в более серьезный сегмент – 10-100 Гб/сек. Сегодня на его долю приходится уже треть всех зафиксированных атак.
Раньше сегмент 1-10 Гб/сек был показательным, поскольку в диапазоне 10-100 Гб/сек было не так много атак. Однако теперь диапазон 10-100 Гб/сек придется разбивать на более мелкие отрезки для демонстрации явной динамики перехода нападений в сегменты с более высокими скоростями.
Распределение атак по индустриям
Проведение Чемпионата Европы по футболу 2021 не могло не оказать влияние на динамику атак на онлайн-ресурсы компаний из различных сфер бизнеса. Несмотря на то что май и июнь – довольно спокойные месяцы из-за начала отпускного периода, в этом году благодаря Евро-2020 они продемонстрировали интересную динамику в части атак.
На ряд индустрий нагрузка действительно упала. Например, атаки на игровой сектор сократились в 5 раз: с 11,74% до 2,29%, на сегмент FOREX – в 2 раза с 5,87% до 2,74%.
Однако злоумышленники переключили свое внимание на другие сферы бизнеса. В частности, доля числа нападений на сегмент беттинга выросла в 4 раза: с 2,20% до 8,38%, продемонстрировав типичный сценарий организации заказных DDoS-атак в конкурентной среде. С началом Чемпионата Европы по футболу игроки индустрии ставок на спорт стали давать активную рекламу своих услуг в Интернете, вкладывая значительные средства в маркетинг. Поэтому неудивительно, что число атак на этот сегмент резко возросло ввиду существенного обострения конкуренции.
Инциденты BGP
Количество уникальных автономных систем, которые участвовали в перехватах или утечках маршрутов BGP, немного снизилось во втором квартале по сравнению с первым, хотя количество участников в отдельно наблюдаемых месяцах почти не изменилось. Кроме этого, в мае и июне количество перехватывающих автономных систем значительно выросло, по сравнению с предыдущими месяцами. Так, май стал первым месяцев, когда количество уникальных автономных систем, создававших перехваты, превысило 10 тысяч.
Количество отдельных инцидентов, связанных с перехватом или утечкой маршрутов также выросло, по сравнению с первым кварталом. Почти десять миллионов утечек маршрутов во втором квартале – значительная цифра, которая будет разве что увеличиваться в отсутствие значительных мер по их предотвращению. Количество перехватов оказалось сопоставимо с первым кварталом 2021 года.