DDoS-атак стало больше в 2,6 раза во второй половине 2024 г.
АО "Селектел" (Selectel - провайдер сервисов ИТ-инфраструктуры в России) опубликовал статистику по DDoS-атакам за второе полугодие 2024 г. По сравнению с первым полугодием их количество выросло в 2,6 раза и составило 80 735. В среднем каждый месяц второй половины 2024 г. Selectel отражал 13 455 атак. Больше всего инцидентов было в октябре - 20 336. Максимальное количество атак на одного клиента в среднем составляло 2780 инцидентов. Максимальное количество атак за месяц на одного клиента - 4621, что в 3,6 раза больше максимального показателя, отмеченного в первом полугодии 2024 г. В отчете используются данные, собранные с помощью системы защиты от DDoS-атак, используемые на уровне сетевой инфраструктуры дата-центров Selectel.
Самый большой объем атаки составил 412 Гбит/с. Это произошло в ноябре, но средний объем переданных данных в этот месяц за инцидент оказался минимальным. В июле зафиксировано наибольшее значение данных - 48 ГБ. Максимальное значение переданных пакетов отмечено в июле - 500 млн, наименьшее - в сентябре (в 24 раза меньше, чем в июле). Как объясняют авторы отчета, атаки большого объема нацелены на переполнение каналов передачи данных: злоумышленники отправляют множество запросов в некорректном формате, и из-за исчерпания ресурсов это приводит к сбоям.
Максимальная скорость атаки составила 103 млн пакетов в секунду, что почти в пять раз больше максимальной скорости атаки, зафиксированной в декабре (22 млн пакетов в секунду - самый низкий показатель). Авторы отчета объясняют, что высокоскоростные атаки применяются для исчерпания вычислительных мощностей сетевого оборудования.
Суммарно во второй половине 2024 г. клиенты находились под атаками 9718 часов. Наибольшая продолжительность зарегистрирована в октябре - 2167 часов, наименьшая - в ноябре (1127 часов).
Средняя продолжительность одной атаки не превышала семи минут, исключение было в июле. Наиболее длительный инцидент произошел в декабре - он продолжался в течение 202 часов. В среднем общая продолжительность атак на одного клиента составляла 10 часов, а максимальное время нахождения клиента под атакой достигло 492 часов.
"Длительность атак связана с тем, что по мере роста оснащенности провайдеров и общей культуры защищенности компаний короткие DDoS-атаки легко отражаются и не имеют эффекта, необходимого злоумышленникам. Теперь, чтобы достигнуть деструктивной цели, необходимо приложить больше усилий и понести больше затрат", - объяснил архитектор информационной безопасности ООО "Юзергейт" (UserGate) Дмитрий Овчинников.
70% от общего количества заняли атаки типа TCP PSH/ACK Flood, TCP SYN Flood и UDP Flood.
Всего за 2024 г. Selectel отразил 112 171 атаку на клиентов. Общая продолжительность атак на заказчиков за год составила 13 613 часов. Авторы отчета объясняют, что количество и общая продолжительность атак выросли, однако средняя длительность одной атаки не сильно изменилась.
За год участились повторные инциденты, с чем связано увеличение показателя максимальной общей длительности атак на одного клиента с 172 часов в апреле до 492 часов в июле. Максимальная продолжительность одной атаки составила 202 часа в декабре - против 156 часов в апреле.
Ведущий эксперт по сетевым угрозам ООО "Код Безопасности" Константин Горбунов считает, что отчет может отражать общую тенденцию по DDoS-атакам в России, так как Selectel - один из крупнейших хостинг-провайдеров на рынке России. Однако заместитель генерального директора группы компаний "Гарда" Рустэм Хайретдинов отмечает, что данные Selectel отражают картину DDoS-атак, направленных только на объекты, защищаемые Selectel. В выборку, вероятно, не попали атаки на "Госуслуги" и другие государственные сервисы.
Рост количества DDoS-атак архитектор информационной безопасности UserGate Дмитрий Овчинников в первую очередь связывает с распространением цифровых технологий, увеличением количества объектов, подключенных к интернету, а также с тем, что организация подобных атак стала более доступна для злоумышленников.
"DDoS-атака - технически простая акция, требующая только ресурсов, которые атакующие либо получают, взламывая слабо защищенные устройства, либо получают их от политически мотивированных пользователей. Такая атака немного стоит, поэтому часто используется по принципу "попробовать - отказаться", - объяснил Рустэм Хайретдинов.
Константин Горбунов отметил автоматизацию атак и распространение ИИ-технологий, которые злоумышленники используют при создании вредоносного программного обеспечения (ПО). ИИ значительно уменьшает как временные затраты на подготовку атак, так и "порог входа".
Руководитель департамента технического пресейла CURATOR Эдгар Микаелян связал рост атак с тем, что, в отличие от уязвимостей в ПО, когда при помощи доработок и патчей можно закрыть недостаток и быть уверенным, что злоумышленники больше не могут эксплуатировать уязвимость, методы для организации DDoS-атак работают по накопительному принципу, с момента их появления. Также имеет значение замедление роста производительности и функциональности цифровых устройств, из-за чего люди реже заменяют девайсы и могут не получать от производителей обновления, а также уязвимы для злоумышленников. Кроме того, растет канальная емкость у интернет-провайдеров и количество всевозможных умных устройств, подключенных к Сети.
"В итоге по всему миру мы имеем десятки и сотни миллионов уязвимых устройств, подключенных к быстрому и качественному интернету. Это дает атакующим бесплатные и практически неограниченные ресурсы для совершения DDoS-атак", - рассказал Эдгар Микаелян.
Еще важен факт, что протоколы, через которые подвергают DDoS-атаке, являются основой интернета, и уязвимости в них нельзя "фиксить", а смена протоколов длится десятилетиями. "За это время можно положить кого угодно. Вдобавок появляются протоколы с новыми уязвимостями, которые пополняют ряды старожилов", - считает Эдгар Микаелян.
Что касается продолжительности атак, Рустэм Хайретдинов рассказал, что вычислительные мощности дешевеют, у нападающих за те же деньги становится больше ресурсов: "Упрощенно, если три года назад за $1 можно было проливать трафик на цель атаки в течение минуты, то теперь за ту же цену можно делать это три минуты".
"DDoS-атаки не всегда используются как самоцель, а являются отвлекающим маневром от целевой атаки с использованием уязвимости. Служба безопасности вынуждена обращать внимание на инциденты, связанные с DDoS, и меньше обращать внимание на действительно серьезные срабатывания средств защиты. И DDos-атака могла быть небольшая и неуспешная, но при этом попала в отчет", - рассказал о причинах роста количества атак руководитель направления информационной безопасности АО "Инфозащита" (iTPROTECT) Кай Михайлов.
Дмитрий Овчинников считает, что снижения числа атак в ближайшие годы ожидать не стоит. "Рост пропускной способности каналов связи и количества устройств, подключенных к интернету, способствует росту количества атак и их мощности. Возможно, когда рост количества устройств замедлится, ситуация с числом атак постепенно стабилизируется", - сказал Дмитрий Овчинников.
https://www.comnews.ru/content/237774/2025-02-14/2025-w07/1008/yanvare-fishinga-stalo-bolshe
