В Рунете возросла мощность DDoS-атак


DDoS - atackКомпании Qrator Labs и Wallarm подготовили отчет, основанный на данных первого полугодия 2014 года по результатам исследования угроз, которым подверглись интернет-ресурсы Рунета.

Так в первой половине 2014 года специалистами компании Qrator Labs было нейтрализовано 2 715 DDoS-атак. Если взять для примера аналогичный период 2013 года, то тогда эта цифра составляла 4 375. Максимальное число атак в день, которые были нейтрализованы сетью фильтрации трафика Qrator, сократилось со 151 в первом полугодии 2013 до 38 в 2014 году. Еще произошло уменьшение среднего количества DDoS в день — c 23,9 до 14,8 соответственно.

Кроме того, специалисты зафиксировали снижение атак класса DNS/NTP Amplification, ранее составлявших более половины всех атак. Максимальный размер ботнета, задействованного в атаке, вырос со 136 644 до 420 489 машин.

С начала 2014 года DDoS-атак стало меньше, однако их скорость значительно возросла, став серьезной проблемой для небольших операторов связи и хостинг-компаний.

Увеличение максимальной длительности атаки произошло с 21 дня в первой половине 2013 года до 90 дней в 2014 году. При этом уровень средней доступности WEB-ресурсов компаний, пользующихся услугами сети Qrator, вырос с 99,83% до 99,87%.

Специалисты считают, что выявленные в первой половине 2014 года тенденции, продолжат свое развитие и во втором полугодии. Например, произошло вытеснение метода атак класса DNS Amplification его аналогом - NTP Amplification. Разница между этими атаками в том, что в атаку в первом случае вовлекается DNS-сервер, задача которого рассылка "мусорных" запросов. Во втором – сервер синхронизации времени.

На атаки также повлияли события, связанные с обостренной ситуацией на Украине. Например, новая волна атак зацепила не только отдельные web-приложения, но и целые дата-центры. Так в случае политических предпосылок для проведения атаки, атакующая сторона проводила полный анализ топологии дата-центра и атаковала все подключенные к дата-центру каналы связи от сторонних провайдеров (uplink).

Также специалисты считают, что из-за действенных методов борьбы с DNS Amplification и NTP Amplification, атаки будут происходить на более глубоких уровнях, пока еще не покрытых экспертизой, и для которых не разработаны комплексные подходы к защите. Здесь речь идет об инфраструктурном уровне и стеке сетевых протоколов.

Если говорить о компании Wallarm, то ее продукты, предотвращающие хакерские атаки, ежедневно обнаруживают около 850 зловредных запросов на одно веб-приложение, которые могут создать угрозу взлома. Так, во втором квартале 2014 года, среднее число атак на одного клиента увеличилось в 2.5 раза по сравнению с первым кварталом текущего года. При этом для одной атаки в среднем используются запросы с двух-трех IP-адресов.

Среди основных причин взлома веб-сайтов по-прежнему остаются:

  • старое ПО;
  • незащищенные тестовые приложения;
  • заражение вирусами компьютеров, принадлежащих сотрудникам компаний;
  • попавшие в открытый доступ учетные записи, ошибки администрирования (например, оставленные пароли по умолчанию);
  • слабая парольная политика.


Взломанные ресурсы злоумышленники использовали для совершения DDoS и других видов атак, а также заражения пользователей вирусами. Были случаи, когда владельцы ресурса сталкивались с саботажем. Так известный финансовый брокер столкнулся с шантажистом, устроившего для начала DDoS-атаку на веб-приложение, а затем осуществил его взлом, требуя с владельцев $100 тыс. в BitCoin’ах за предотвращение атаки. В результате хакерской атаки на сайт «Российской газеты», ее сайт был значительное время недоступен для посещения.

Главным событием в сфере информационной безопасности в первом полугодии 2014 года стало обнаружение уязвимости HeartBleed. Напомним, что уязвимость HeartBleed была найдена в библиотеке OpenSSL, используемой для шифрования данных. Она позволяет злоумышленникам получать доступ к любым зашифрованным данным, включая пароли к учетным записям пользователей или, например, номера кредитных карт в открытом виде.

Специалисты прогнозируют, что во втором полугодии 2014 года произойдет увеличение количества атак на ресурсы, написанные на платформе Ruby On Rails и различных фреймворках Java, в том числе Struts 2.


Обновлено (10.07.2014 01:08)