Обзор DDoS-атак Рунета: 9:1 в пользу примитива

No Time for losers

ICMP/UDP/SYN/ACK-флуд составляет всего 18%. Средняя мощность атаки – 300 Мбит/c. Более 1 Гбит/c имели 40 инцидентов. Наибольший суммарный трафик атаки на полосу – 56 Гбит/c – зафиксирован на интернет-магазин магнитных игрушек в июле 2011 года. Атака была частично направлена и на наш домен, есть основания полагать, что атакующие пытались обрушить Qrator целиком, «размазав» трафик атаки по сети.

Количество DDoS-атак на полосу постоянно снижается. А все потому, что большинство хостинг-провайдеров среднего уровня стали к ним готовы. Небольшим атакам легко противодействовать, мощные же не могут продолжаться долго, так как даже магистральные провайдеры начинают испытывать связанные с ними проблемы.

The Champions!

Преступники отдают предпочтение высокоуровневым атакам транспортного и прикладного уровня (82%). Они рассчитывают на исчерпание ресурсов сервера в рамках установленных TCP-соединений, поэтому важно количество IP-адресов, участвующих в атаке. Интеллектуальные атаки на приложение коварны тем, что даже при наличии стратегии защиты вы скорее всего потеряете некую, пусть мизерную, часть легитимных пользователей.

Не менее 50% атак Layer 7 – это «долбежка» в один URI, интеллектуальных атак всего около 10%. Первый массовый робот, который имел хорошо написанный сетевой стек с HTTP и Javascript и грамотно осуществлял переходы по сайту, – это Minerbot, атаковавший прошлой осенью немецкие и российские сайты e-commerce. Количество ботов с полноценными Web browser capabilities (TCP, HTTP/1.1, JS) неуклонно растет, особенно в дорогих заказных атаках. Вероятно, индустрия движется в сторону использования полноценных браузеров для выполнения DDoS-атак.


Отметим еще одну пренеприятнейшую тенденцию – владельцы ботнетов стали кооперироваться. За год Qrator детектировал 4 атаки, осуществляемые одновременно несколькими ботнетами с различными стратегиями нападения. Вспомним громкие случаи с «Эхо Москвы» (3 ботнета) и Хабрахабром (4-5).