8 декабря воскресенье

DDoS переходит на Linux

Разбираемся в исследовании DDoS, проведенном «Лабораторией Касперского», и вспоминаем самые громкие атаки последних месяцев

DDoS переходит на Linux
Статьи 4 августа 2016 •  runet

DDoS переходит на Linux

Разбираемся в исследовании DDoS, проведенном «Лабораторией Касперского», и вспоминаем самые громкие атаки последних месяцев

4 августа 2016 👁 6381

DDoS-атаки в последнее время все больше на слуху. Это самый легкий инструмент давления на неугодные небольшие интернет-сервисы, и
самый простой в исполнении. Для эффективного DDoS вовсе не обязательно быть хакером:
достаточно просто нужного количества людей, готовых направить мощность
своего компьютера на то, чтобы «обрушить» серверы недругов.

За последние несколько месяцев произошло множество громких DDoS-атак. Последняя
состоялась на этой неделе: геймеры, использовавшие коды в
многопользовательском шутере Overwatch разгневались из-за массового бана читеров, и атаковали
сервера компании Blizzard.
В результате многие сервисы компании, в том числе серверы игр Hearthstone и Overwartch, были недоступны в
течение нескольких часов.

Число DDoS-атак
постепенно растёт, подсчитали аналитики «Лаборатории Касперского», опубликовавшие
отчет о DDoS-атаках за
второй квартал 2016 года. Их число растет неравномерно и стихийно, от полутора
сотен 18 апреля и почти до 1700 седьмого июня.

Однако если смотреть на данные по полугодию в целом, можно
отметить зависимость активности хакеров от дня недели: как отмечается в
исследовании, во 2 квартале 2016 года самым популярным для DDoS днем оказался вторник, в этот день происходило 15,2% всех атак, по понедельникам их было чуть меньше (15%).
Наименьшую DDoS-активность во втором
квартале фиксировали по воскресеньям (13%).

Динамика DDoS-атак в первом полугодии 2016

Динамика DDoS-атак в первом полугодии 2016
Main_лямин
Александр
Лямин
генеральный директор Qrator Labs

«Уже несколько лет мировой ежегодный рост числа DDoS-атак – около четверти, и в России он идет опережающими темпами. Я думаю, во многом здесь задает тон повышенная конкурентная борьба: соответственно, люди ищут возможности поконкурировать, даже нечестно.
<p>В общем, количество DDoS-атак растет, но их скорость проведения при этом падает, потому что количество доступных источников сети, которые можно использовать, постепенно сокращается»

Несмотря на то, что распространенность DDoS-атак не снижается, сегодня их
боятся значительно меньше, чем, к примеру, 10 лет назад, отмечает глава Zecurion Analytics Владимир
Ульянов. 

Main_ульянов
Владимир
Ульянов
глава Zecurion Analytics

«Сейчас это угроза среднего уровня. Шум, который был вокруг DDoS лет 10 назад поутих, сами атаки не стали слабее, наоборот, активное развитие интернета, в том числе интернет вещей (IoT), существенное увеличение количества устройств, подсоединённых к интернету, и большое количество пользователей, которые халатно относятся к вопросам безопасности, привело к появлению огромных ботнетов, мощности которых на порядки превосходят возможности ботнетов начала 2000-х.
<p>Тем не менее, развитие средств защиты и появление эффективных инструментов фильтрации трафика, снижают результативность DDoS-атак. Специалисты по информационной безопасности имеют в своем арсенале немало средств защиты (гораздо больше, чем несколько лет назад), хотя примеров успешных атак тоже достаточно. В целом, вектор сместился в сторону других атак. Если хакеров реально интересует конкретная организация, они используют сразу несколько направлений в рамках ATP (Advanced persistent threat). При этом решающую роль часто играют методы социальной инженерии»

Во втором квартале 2016 года «Лаборатория
Касперского» зафиксировала DDoS-атаки по целям, расположенным в 70 странах
мира, однако большая часть (77,4%) из них пришлась на объекты, расположенные в
Китае. Китай лидирует и по числу целей, и по числу самих проводимых DDoS-атак, также в тройке лидеров Южная Корея и
США.

94,3% всех атак были нацелены всего на десять стран. Китай отличился и по этому параметру:
на расположенные на территории этой страны мишени пришлось 71,3% всех
DDoS-атак, при том, что в прошлом квартале этот показатель составил 49,7%.

Из-за роста числа атак на китайские
веб-ресурсы снизились доли нападений, пришедшихся на другие страны, особенно это заметно на примере Южной Кореи (15,5 п.п). Из топ-5 самых атакумых стран ушла Россия, так как доля
пришедшихся на российские мишени атак снизилась на 1,3 п.п

Самые популярные методы атак остались неизменными — SYN-DDoS (их доля значительно повысилась), TCP-DDoS и HTTP-DDoS, однако значительно возросла популярность Linux-ботнетов среди злоумышленников: с них проводилось 70,2% выявленных атак, это почти вдвое больше их доли в предыдущем квартале.

«Значительный рост популярности SYN-DDoS во многом обусловлен тем, что во втором квартале 2016 года 70,2% всех выявленных атак пришлось на Linux-ботнеты», — рассуждают аналитики «Лаборатории Касперского. Столь сильный рост популярности активности Linux-DDoS-ботнетов по сравнению с Windows-ботнетами произошел впервые за несколько лет, а именно Linux-ботнеты лучше всего подходят для проведения SYN-DDoS.

Распределение DDoS-атак по типам

Распределение DDoS-атак по типам

Главный тренд DDoS второго квартала — нападения на самые «виртуальные», и при этом самые заполненные деньгами сервисы — онлайн-кошельки криптовалют. Вследствие продолжительных DDoS-атак во втором квартале 2016 года целых две компании, CoinWallet и CoinKite, были вынуждены прекратить свою работу.

Другая тенденция — проникновение интернета вещей и в эту сферу. Так, исследователи обнаружили ботнет, состоящий из 25 тысяч устройств, большая часть которых — камеры наблюдения.

Не менее громкой атакой был и недавний DDoS Blizzard.

Main_лямин
Александр
Лямин
генеральный директор Qrator Labs

«Это достаточно знаково, потому что компания была готова к DDoS-нападению. Тем не менее, атака вывела их из строя. Как это удалось сделать? В отличие от предыдущего года, на этот раз использовались настоящие живые устройства, которые могли проходить верификацию на свою аутентичность. Из-за этого некоторые меры защиты, которые раньше были эффективны, теперь не работают»

Для того, чтобы обходить защиту от кибератак, злоумышленники постоянно адаптируют ПО. Например, Cerber — это вирус-шифровальщик, который при этом использует зараженные устройства для DDoS-атак, отправляя UDP-пакеты, «подписываясь» адресом жертвы, того самого «живого» компьютера.

Атаки регулярно становятся более «умными», констатирует эксперт компании ESET Russia Вячеслав Железняков.

Main_железняков
Вячеслав
Железняков
эксперт компании ESET Russia

Классическим примером подобных атак являются атаки, при которых злоумышленник не пытается просто «забить» канал какими-нибудь пакетами, а выбирает своей целью конкретное бизнес-приложение клиента, и, например, находит в нем наиболее нагруженные функции (поиск, большие выборки из БД и т.п.) и посылает большой объем запросов именно к этим функциям.<p> Таким образом, вычислительные ресурсы сервера, на котором развернуто приложение, заканчиваются очень быстро и он перестает отвечать на запросы клиентов. При этом необходимо отметить, что на реализацию подобной атаки злоумышленнику нужно как правило на порядок меньше ресурсов, чем в случае «простой» DDoS –атаки»</p>

Автор: Юнна Коцар

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе всех новостей и событий Рунета.

Комментарии 0
Зарегистрируйтесь или , чтобы оставлять комментарии.