Prolexic: DDoS-атаки в IV квартале и главные итоги 2012 года


Prolexic TechnologiesВ октябре-декабре защитные решения Prolexic отразили 7 DDoS-атак мощностью свыше 50 Гб/с. От данных атак страдали финансовые организации, предприятия электронной коммерции и SaaS-сервисы. Для атаки нападающие использовали тулкит itsoknoproblembro, уже получивший альтернативное имя - BroDoS, а также ряд других инструментов, создающих не меньший DDoS-трафик.

Согласно статистике Prolexic, три четверти атак были проведены с использованием протоколов 3 и 4 уровня, остальные - на уровне приложений. Примерно такое же соотношение наблюдалось в течение всего года. Наибольшее распространение в отчетный период получили такие техники, как

  • SYN flood - 24% атак. Такие техники обычно проводились с ботнетов на базе ПК;
  • GET flood - 20,6%;
  • ICMP flood - 18%;
  • UDP flood - 15,5%. Проводились с веб-серверов с предустановленными шелл-скриптами.


В создании DDoS-трафика прикладного уровня участвовали все наличные силы - и боты, и веб-скрипты.

Основная статистика Prolexic по DDoS-атакам за IV квартал (сравнительно с III кварталом 2012 года) выглядит следующим образом:

  • общее число инцидентов - возросло на 27,5%;
  • количество атак на:
    • сетевую инфраструктуру - увеличилось на 17%;
    • приложения - на 72%.

  • средняя продолжительность атак возросла - на 67% (с 19,2 до 32,2 часов);
  • средняя мощность атак увеличилась - на 20% (с 4,9 до 5,9 Гб/с), сравнительно с IV кварталом 2011 года;
  • общее количество инцидентов увеличилось - на 19%;
  • число атак:
    • 3 и 4 уровня - выросло на 15%;
    • 7 уровня - на 30%.

  • продолжительность атак уменьшилась - на 6%;
  • мощность возросла - на 13%.


Среди стран-источников DDoS-трафика лидируют:

  • Китай - 55,44%;
  • Германия - 9,07%;
  • Индия - 8,77%.


В сравнении с 2011 годом количество DDoS-инцидентов, фиксируемых в течение года, увеличилось более чем в полтора раза. Важной тенденцией, проявившейся в минувшем году, является рост числа атак на DNS-структуру. Этот прирост составил:

  • за год - 1,19%;
  • за последний квартал - 4,67%.


Большое распространение при этом получил метод отражения DNS-запросов (DNS reflection), позволяющий скрыть реальный источник атаки и выполнить атаку с плечом за счет использования открытых резолверов.

Самым ярким событием года на DDoS-арене является премьера тулкита itsoknoproblembro. Активное освоение этого php-инструментария, позволяющего автоматизировать процесс эксплуатации уязвимостей, заражения и управления атакой, привело к заметной смене состава участников DDoS. В прежние годы атакующие делали главную ставку на зараженные рабочие станции, объединяя их в обширные бот-сети с централизованным управлением. Эффективное появление itsoknoproblembro доказало, что не менее большим потенциалом в этом плане обладают также зараженные высокопроизводительные веб-серверы.