Новые рекорды: как изменились DDoS к концу года

Продолжаем следить за тем, как меняется ситуация с интенсивностью DDoS-атак и поведением хакеров. Спрогнозированный еще в прошлом году «кибершторм» из атак рекордной мощности пока полностью оправдывает ожидания.

Фото: Niloy Biswas / Unsplash.com

Фото: Niloy Biswas / Unsplash.com

Больше и мощнее

Этот год оказался богат на рекорды по мощности проводимых DDoS. В первом квартале злоумышленники атаковали ресурсы криптовалютных бирж, хостингов и облачных провайдеров. Интенсивность кампании достигла 71 миллиона запросов в секунду (RPS), а работа шла с 30 тыс. IP-адресов. Однако мощность атак возросла — в третьем квартале года один из крупнейших облачных провайдеров отразил серию DDoS мощностью более 100 млн запросов в секунду. Наиболее существенное воздействие достигло планки в 201 млн RPS. Этот случай примечателен тем, что злоумышленники использовали зараженную сеть из 20 тыс. машин — по меркам ботнетов, это небольшое число.

Нанести настолько мощный удар удалось с помощью уязвимости HTTP/2 (CVE-2023–44487), позволяющей проводить DDoS-атаки с быстрым сбросом. В этом случае злоумышленник направляет серверу большое количество запросов, а затем отменяет их, не дожидаясь ответа. В итоге множество активных потоков перегружает сервер. Так как клиент отменяет свои же запросы, всего несколько машин способны перегрузить систему со стандартной имплементацией протокола. Особенно сильное влияние атака оказывает на инфраструктуру с балансировщиками нагрузки, где задержки в обработке запросов усиливают DDoS-эффект.

Но даже атака в 201 млн RPS не стала рекордной. «Рейтинг» возглавил удар по одному из крупнейших облачных провайдеров. Мощность воздействия превысила 398 млн запросов в секунду. Злоумышленники также использовали уязвимость CVE-2023–44487. Интересен тот факт, что атака продлилась всего две минуты. Хотя по оценкам аналитиков, средняя продолжительность DDoS-кампаний в третьем квартале этого года составила 66 минут. Наиболее длительная атака шла 71 час 58 минут и превзошла рекордную на два часа.

Как и куда бьют

Одной из ключевых особенностей DDoS становится многовекторность атак. Количество таких кампаний возросло на 86% по сравнению с прошлым годом. Злоумышленники используют уязвимости в нескольких протоколах или бьют по различным системам одновременно, например, по клиентским и корпоративным сервисам. Особенно эффективно такой подход проявляет себя в кампаниях против крупного бизнеса, представляющего транспортную отрасль, финтех, сегменты онлайн-ритейла и телекома.

В рейтинге наиболее атакуемых стран лидерами оказались США, Сингапур, Китай, Вьетнам и Канада. Что касается России, то наша страна также попала в список наиболее атакуемых (шестое место в рейтинге по HTTP DDoS). Эксперты отметили, что большинство злоумышленников выбрали в качестве своих целей критически важные отрасли экономики, такие как госсектор, финансовую и транспортную сферу.

Кроме того, вместо профессиональных хакеров, большая часть атакующих оказалась хактивистами. Несмотря на эти тенденции, никуда не исчезли и классические целевые кампании: например, под удар в этом квартале попал сайт платёжной системы «Мир».

Противодействие

Крупный бизнес и облачные провайдеры регулярно обмениваются информацией и методами смягчения атак. Именно таким образом удалось снизить влияние кампаний с использованием уязвимости быстрого сброса HTTP/2. Специалисты по ИБ начали фильтровать трафик с помощью новых шаблонов, внедрили несколько улучшений в сфере обработки фреймов протокола сервером и код отправки запросов.

Помимо работы с конкретными уязвимостями, ключевым направлением в противодействии DDoS до сих пор остаётся использование машинного обучения и нейросетей для быстрого выявления вредоносного трафика. Например, в этом квартале исследователи из Китая представили новую модель, которая сочетает в себе глубокую свёрточную нейросеть и многослойный перцептрон MLP. Последний представляет собой нейронную сеть прямого распространения сигнала без обратных связей. Модель предлагают использовать для определения DDoS-атак в SDN. По оценке авторов, она позволяет добиться точности в 99%. Похожую систему для защиты SDN разработали инженеры из Кореи. Она детектирует DDoS в 99,97% случаев. Такой показатель практически гарантирует, что вредоносный трафик будет своевременно обнаружен.

Фото: Tan Kaninthanond / Unsplash.com

Фото: Tan Kaninthanond / Unsplash.com

Есть и другие исследования в этой области. Инженеры из Университета Западной Флориды с коллегами из Университета Нью-Хейвена опубликовали работу, в которой предложили использовать энтропийный и классификационный анализ для поиска аномалий в системах управления производственными процессами. В них достаточно сложно использовать классическое сопоставление сигнатур для анализа трафика из-за большого числа неизвестных. Новый подход эффективно отсеивает DDoS в 98% случаев.

Аналогичными разработками занимаются инженеры из Политехнического института в Париже, только для детекции DDoS они используют технологию LSTM. По сути, они построили две модели. Первая определяет, является ли входящий трафик потенциально вредоносным. Если ответ положительный, он поступает на вход второй модели. И уже она решает, являются ли пересылаемые пакеты частью DDoS-кампании. По словам разработчиков, такой подход более устойчив к атакам с использованием интеллектуальных инструментов, которые все чаще применяют хакеры.

Еще одна свежая публикация (декабрь 2023 года) описывает платформу для обучения моделей по выявлению DDoS-атак. Авторы пришли к выводу, что наиболее эффективным методом тренировки является случайный лес. Для модели настраивают RF-параметры, такие как частота дискретизации, максимальная глубина дерева и их количество, для дальнейшего повышения эффективности алгоритма при обнаружении DDoS-атак.

Что ещё стоит отметить

  • Сохраняется тренд на формирование ботнетов. Однако размеры заражённых сетей становятся меньше. В третьем квартале этого года наиболее крупной оказалась сеть из 85 тыс. устройств против 136 тыс. во втором квартале.

  • Достаточно распространены DDoS-кампании на основе DNS — их доля выросла сразу на 44%. Однако активно используются атаки типа TCP Reset и UDP flood.

  • Наибольший рост (сразу на 456%) в третьем квартале этого года показывает количество многоадресных DNS-атак. Для реализации такого подхода применяют протокол mDNS на основе UDP. Второе место по популярности с приростом в 387% заняли кампании с усилением на базе транспортного протокола CoAP.

Дополнительное чтение в нашем блоге

  • Уязвимость в протоколе RPL вызывает kernel panic. Слабое место протокола — механизм сжатия адресов. Достаточно сконфигурировать специальный пакет, чтобы вызвать переполнение буфера. Говорим о способах защиты и других уязвимостях.

  • Потенциальная уязвимость DHCP и rDNS — что нужно знать. С помощью этих технологий можно отслеживать имена хостов в сети. Если в них упоминается важная информация, это может быть проблемой с точки зрения ИБ.

  • Поддержка от крупных компаний, производительность и новые угрозы — что происходит с HTTP/3. Наш компактный материал, в котором мы обсуждаем производительность, безопасность и темпы внедрения протокола. Спойлер: его поддерживает примерно четверть сайтов в интернете, несмотря на тот факт, что организации начали внедрять его поддержку ещё несколько лет назад.

  • Исследования возможностей нейронных сетей глубокого обучения в распознавании маскируемого трафика. Существуют различные подходы к классификации трафика. Они могут включать как классическую инспекцию полезной нагрузки, так и статистическое МО. Мы предлагаем свой подход на базе архитектуры сверточной нейросети и ResNet. Это — наш обзорный материал, в котором мы рассказываем о процессах сбора данных и обучения, а также делимся результатами.

  • ЕС внедряет правительственные веб-сертификаты — почему инициатива вызывает опасения. Специалисты по информационной безопасности считают, что новый законопроект позволит правоохранительным органам сканировать трафик и устройства резидентов Евросоюза. Правозащитные организации также убеждены, что это — прямая дорога для злоупотреблений. В материале обсуждаем аргументы сторон и примеры успешных MITM-атак на центры сертификации.

  • Угроза DoS — обсуждаем уязвимости протокола ICMP. Этот протокол — важный компонент TCP/IP, который существует уже больше сорока лет. За это время в нем нашли и исправили множество уязвимостей. Обсуждаем проблему, связанную с механизмом перенаправления, которая напоминает атаку ARP-poisoning.

  • Инфраструктура открытых данных для ИИ — кто её разрабатывает. Американские исследователи планируют построить сеть репозиториев с данными для обучения ML-моделей. В первую очередь она должна решить проблему несогласованности данных. Что интересно, появляются частные инициативы в этой нише.

© Habrahabr.ru