Какими были DDoS-атаки сетевого уровня в 4-м квартале 2020-го

16.02.2021 | VAS Experts

Перевод статьи Network-layer DDoS attack trends for Q4 2020 (Vivek Ganti, Omer Yoachimik, The Cloudfare Blog)

Больше всего крупных DDoS-атак в 2020-м случилось в конце года. В частности, резко возросло их количество со скоростью более 500 Мбит/с и 50K pps Кроме того, число атак на основе протоколов увеличилось в 3-10 раз по сравнению с предыдущим кварталом.

Злоумышленники также были более настойчивы, чем когда-либо — почти 9 % всех атак, наблюдаемых с октября по декабрь, длились более 24 часов. Сразу озвучим главные итоги, которые далее распишем подробнее.

Статистика DDoS-атак

  • Количество. Впервые в 2020 году общее количество атак в четвертом квартале уменьшилось по сравнению с предыдущим кварталом.
  • Продолжительность. 73 % из них длились менее часа, когда как в третьем квартале таких было 88 %.
  • Вектор. В то время как SYN, ACK и RST-флуды продолжали оставаться популярными, количество атак через NetBIOS увеличились на 5400 %, за ними по популярности следуют атаки через ISAKMP и SPSS.
  • Глобальная DDoS-активность. Самый высокий процент DDoS-трафика по отношению к традиционному был зафиксирован в Маврикии, Румынии и Брунее.
  • Дополнительные тактики. Организации по всему миру регулярно сталкиваются с шантажом от злоумышленников, которые требуют выкуп, угрожая DDoS-атакой.

Количество атак

Количество DDoS атак

В четвертом квартале впервые в 2020 году общее количество DDoS-атак на сетевом уровне уменьшилось по сравнению с предыдущим кварталом. В 4 квартале было зафиксировано 15 % всех атак года. Активнее всего в четвертом квартале злоумышленники были в декабре.

Размер DDoS атак

Скорость

Существуют разные способы измерения масштаба DDoS. Первый — это объем передаваемого трафика или его «битрейт» (измеряемый в гигабитах в секунду). Другой — это количество или скорость передачи пакетов (измеряется в пакетах в секунду). Атаки с высокой скоростью передачи данных пытаются перегрузить сетевые каналы «последней мили», а атаки с высокой скоростью передачи пакетов пытаются перегрузить маршрутизаторы или другие аппаратные устройства.

Скорость DDoS атак

Атаки со скоростью более 500 Мбит/с и 50K pps составили больший процент от общего количества по сравнению с предыдущими кварталами. Атаки со скоростью выше 100 Гбит/с увеличилось в 10 раз по сравнению с 3-м кварталом, а свыше 10M pps — в 3,6 раза.

Рост числа крупных DDoS-атак — это тревожная тенденция, которая указывает на то, что хакеры становятся все более наглыми и используют инструменты, которые позволяют им проводить более крупные нападения. Что еще хуже, такие атаки имеют последствия не только для сети, но и для поставщиков услуг.

Продолжительность и возникающие угрозы

73 % атак в четвертом квартале 2020 года длились менее часа. С другой стороны, почти 9 % длились более 24 часов (в третьем квартале 2020 года их было 1,5 %).

DDoS на основе протокола TCP (такие как SYN и RST-флуд) остается популярным, а атаки с помощью NetBIOS и ISAKMP переживают взрывной рост по сравнению с предыдущим кварталом.

NetBIOS — протокол, который позволяет приложениям на отдельных машинах общаться и получать доступ к общим ресурсам по локальной сети, а ISAKMP — это протокол, используемый для настроек политик безопасности и криптографических ключей при настройке IPsec VPN.

Структура и организация DDoS-атак становится все сложнее, а значит, надежная защита от них становится необходимостью для компаний.

Глобальная DDoS-активность

Дата-центры Cloudflare в Маврикии, Румынии и Брунее зафиксировали самое высокое соотношение DDoS-трафика к нормальной сетевой активности. Это от 4,4% до 4,9%, то есть почти 5 из каждых 100 байт трафика участвуют в DDoS.

Рост активности ботнетов в этих странах может быть связан с разными явлениями, но в случае с Румынией причина, скорее всего, в том, что здесь самый дешевый суперскоростной широкополосный интернет в мире, что делает атаки из этой страны проще и дешевле. Европейский Совет 9 декабря объявил, что скоро в Румынии откроется Европейский центр отраслевой, технологической и исследовательской компетентности в области кибербезопасности (ECCC).

В 3-м квартале 2020-го наблюдался рост числа вымогательств и угроз DDoS (RDDoS) по всему миру. В ходе атаки RDDoS злоумышленник угрожает атакой, которая может остановить работу сетей, веб-сайтов или приложений если жертва не заплатит выкуп. В конце года эта тенденция продолжилась. В том случае, если вы столкнетесь с подобным, нужно помнить три вещи.

  1. Не паникуйте и не платите выкуп. Так вы финансируете незаконную деятельность, кроме того вы не получаете никаких гарантий, что злоумышленники не нападут на вашу сеть.
  2. Сообщите о случившимся местным правоохранительным органам и передайте им копию письма с требованием выкупа.
  3. Свяжитесь с компанией, которая давно и профессионально занимается защитой от DDoS-атак.
Поделиться в социальных сетях