От мегабитов к терабитам: Gcore Radar предупреждает о новой эре DDoS-атак24.01.2024 15:16

На пороге 2024 года компания Gcore опубликовала Gcore Radar — выходящий дважды в год отчет, в котором представлена внутренняя аналитика для отслеживания DDoS-атак. Обширная международная сеть центров очистки трафика позволяет компании наблюдать за тенденциями развития и изменения кибератак с течением времени. По результатам отчета Gcore пришла к выводу, что во второй половине 2023 года DDoS-атаки стали масштабнее и сложнее.

Рассказываем о тенденциях, характерных для кибератак прошлого года и их значении для разработки надежной стратегии защиты в 2024 году.

Gcore Radar предупреждает о новой эре DDoS-атак

Увеличение мощности

За последние три года пиковая мощность DDoS-атак (зафиксированный максимум) увеличилась более чем на 100% в год:

  • в 2021 году пиковая мощность DDoS-атак составляла 300 Гбит/с;
  • в 2022 году она увеличилась до 650 Гбит/с;
  • в I–II квартале 2023 года — 800 Гбит/с;
  • в III-IV кварталах 2023 года рост составил 1600 Гбит/с (1,6 Тбит/с).

Максимальная мощность атаки в 2021-2023 годах в Гбит/сМаксимальная мощность атаки в 2021–2023 годах в Гбит/с

Примечательно, что из-за резкого скачка во втором полугодии 2023 года индустрия кибербезопасности начала измерять DDoS-атаки в новых единицах — терабитах.

Представленная информация наглядно демонстрирует существенное увеличение потенциального ущерба от DDoS-атак, и по прогнозам Gcore в наступившем году эта тенденция сохранится.

Продолжительность

По наблюдениям Gcore, в прошлом году длительность атак составляла от трех минут до девяти часов, в среднем они продолжались около часа.

Самая продолжительная зарегистрированная атака Gcore длилась девять часовСамая продолжительная зарегистрированная атака Gcore длилась девять часов

Зафиксировать короткие атаки сложнее ввиду отсутствия возможности для проведения надлежащего анализа трафика из-за нехватки данных. Следовательно, предотвратить подобные атаки труднее. Для борьбы с продолжительными по времени атаками требуется больше ресурсов. Чтобы избежать длительного простоя сервера, необходимо предпринимать мощные меры по смягчению последствий атак.

Преобладающие типы

Наиболее частыми атаками остаются UDP-флуды, на их долю приходится 62% всех DDoS-атак. Популярность сохранили TCP-флуды и ICMP-атаки: их доля от общего количества составляет 16% и 12% соответственно.

Доминирующие типы атак во второй половине 2023 годаДоминирующие типы атак во второй половине 2023 года

На все остальные типы DDoS-атак, включая SYN, SYN+ACK Flood и RST Flood, в прошлом году приходилось 10%. Таким образом, хотя часть злоумышленников использует сложные приемы, большинство киберпреступников по-прежнему предпочитает применять для отключения серверов отправку множества пакетов большого объема.

Источники атак

Глобальное распространение источников атак говорит о безграничном характере киберугроз, когда злоумышленники действуют через национальные границы. Во второй половине 2023 года Gcore выявила различные источники DDoS-атак, при этом лидером по количеству запущенных атак является США (24%). В первую десятку входят: Индонезия (17%), Нидерланды (12%), Таиланд (10%), Колумбия (8%), Россия (8%), Украина (5%), Мексика (3%), Германия (2%) и Бразилия (2%). Все это свидетельствует о широко распространенной мировой угрозе.

Распространение источников атак по географическому принципуРаспространение источников атак по географическому принципу

Географическое распределение источников DDoS-атак предоставляет важную информацию для разработки целевых стратегий защиты и формирования международной политики, направленной на борьбу с киберпреступностью. С другой стороны, определить местонахождение злоумышленников непросто из-за использования ими таких методов, как подмена IP-адреса или применение распределенных ботнетов. Это затрудняет оценку мотивов и возможностей, которые могут быть самыми разными — от атак, спонсируемых государством, до действий отдельных хакеров.

Целевые отрасли

Наиболее подверженными DDoS-атакам во втором полугодии 2023 года стали несколько основных отраслей:

  • самой пострадавшей остается игровая индустрия: на ее долю приходится 46% атак;
  • второе место занимает финансовый сектор, включая банки и сервисы гэмблинга (22%);
  • большому числу нападений подверглись телекоммуникационные компании (18%), поставщики инфраструктуры как услуги (IaaS) (7%), и компании, занимающиеся компьютерным ПО (3%).

DDoS-атаки со стороны пострадавшей отраслиDDoS-атаки со стороны пострадавшей отрасли

Если сравнить с предыдущем отчетом Gcore Radar, нацеленность злоумышленников не изменилась: наиболее интересными для них остаются игровой и финансовый секторы. Прежде всего, это связано с финансовой выгодой и возможностью оказать влияние на пользователей. Это говорит о необходимости применения в наиболее пострадавших отраслях целенаправленных стратегий кибербезопасности, например, использование контрмер для конкретных игровых серверов.

Анализ

В целом, данные за вторую половину 2023 года свидетельствуют о тревожной тенденции в сфере DDoS-атак. Особенную опасность представляет увеличение мощности атак до 1,6 Тбит/с. Компаниям и организациям необходимо готовиться к новому  уровню угроз. Для примера, даже «скромная» атака на скорости 300 Гбит/с способна вывести из строя незащищенный сервер. Учитывая географическое распределение источников атак, становится ясно, что DDoS-угрозы представляют серьезную и глобальную проблему, решение которой требует международного сотрудничества и обмена данными.

Диапазон продолжительности атак демонстрирует, что злоумышленники становятся большими стратегами, адаптируя используемые приемы к конкретным задачам и целям.

К примеру, в игровом секторе мощность и продолжительность атак относительно невелики, однако здесь они происходят чаще, вызывая повторяющиеся сбои в работе определенного сервера. Это заставляет игроков переключиться на сервер конкурента.

В финансовой и телекоммуникационной отраслях, где более важным является экономический эффект, атаки часто бывают более масштабными, а их длительность сильно варьируется.

Постоянные нападения на игровой, финансовый, телекоммуникационный сектор и IaaS-отрасли демонстрируют, что злоумышленники стратегически подходят к выбору атакуемых объектов. Прежде всего, они нацелены на сервисы, нарушение работы которых будет иметь значительные экономические и эксплуатационные последствия.

Заключение

Отчет Gcore Radar за два последних квартала 2023 года предупреждает о постоянно меняющемся характере киберугроз. Организациям в разных секторах экономики необходимо внедрять комплексные и адаптивные меры кибербезопасности, а чтобы опережать DDoS-угрозы, нужно четко понимать меняющиеся модели и стратегии кибератак.

Полный текст статьи читайте на Компьютерра