DDoS-атак стало больше в 2,6 раза во второй половине 2024 г.
Провайдер сервисов ИТ-инфраструктуры в России АО "Селектел" (Selectel) опубликовал статистику по DDoS-атакам за второе полугодие 2024 г. По сравнению с первым полугодием их количество выросло в 2,6 раза и составило 80 735. В среднем каждый месяц второй половины 2024 г. Selectel отражал 13 455 атак. Больше всего инцидентов было в октябре - 20 336. Максимальное количество атак на одного клиента в среднем составляло 2 780 инцидентов. Максимальное количество атак за месяц на одного клиента - 4 621, что в 3,6 раза больше максимального показателя, отмеченного в первом полугодии 2024 г. В отчете используются данные, собранные с помощью системы защиты от DDoS-атак, используемые на уровне сетевой инфраструктуры дата-центров Selectel.
Самый большой объем атаки составил 412 Гбит/с. Это произошло в ноябре, но средний объем переданных данных в этот месяц за инцидент оказался минимальным. В июле было зафиксировано наибольшее значение данных - 48 ГБ. Максимальное значение переданных пакетов отмечено в июле - 500 млн, наименьшее - в сентябре (в 24 раза меньше, чем в июле). Как объясняют авторы отчета, атаки большого объема нацелены на переполнение каналов передачи данных: злоумышленники отправляют множество запросов в некорректном формате, и из-за исчерпания ресурсов это приводит к сбоям.
Максимальная скорость атаки составила 103 млн пакетов в секунду, что почти в пять раз больше максимальной скорости атаки, зафиксированной в декабре (22 млн пакетов в секунду - самый низкий показатель). Авторы отчета объясняют, что высокоскоростные атаки применяются для исчерпания вычислительных мощностей сетевого оборудования.
Суммарно во второй половине 2024 г. клиенты находились под атаками 9 718 часов. Наибольшая продолжительность зарегистрирована в октябре - 2 167 часов, наименьшая - в ноябре (1 127 часов).
Средняя продолжительность одной атаки не превышала семи минут, исключение было в июле. Наиболее длительный инцидент произошел в декабре - он продолжался в течение 202 часов. В среднем общая продолжительность атак на одного клиента составляла 10 часов, а максимальное время нахождения клиента под атакой достигло 492 часов.
"Длительность атак связана с тем, что по мере роста оснащенности провайдеров и общей культуры защищенности компаний короткие DDoS-атаки легко отражаются и не имеют эффекта, необходимого злоумышленникам. Теперь, чтобы достигнуть деструктивной цели, необходимо приложить больше усилий и понести больше затрат", - объяснил архитектор информационной безопасности ООО "Юзергейт" (UserGate) Дмитрий Овчинников.
70% от общего количества заняли атаки типа TCP PSH/ACK Flood, TCP SYN Flood и UDP Flood.
Всего за 2024 г. Selectel отразил 112 171 атаку на клиентов. Общая продолжительность заказчиков под атаками за год составила 13 613 часов. Авторы отчета объясняют, что количество и общая продолжительность атак выросла, однако средняя длительность одной атаки не сильно изменилась.
За год участились повторные инциденты, в связи с чем связано увеличение показателя максимальной общей длительности атак на одного клиента с 172 часов в апреле до 492 часов в июле. Максимальная продолжительность одной атаки составила 202 часа в декабре - против 156 часов в апреле.
Ведущий эксперт по сетевым угрозам ООО "Код Безопасности" Константин Горбунов считает, что отчет может отражать общую тенденцию по DDoS-атакам в России, так как Selectel - один из крупнейших хостинг-провайдеров на рынке России. Однако заместитель генерального директора группы компаний "Гарда" Рустэм Хайретдинов отмечает, что данные Selectel отражают картину DDoS-атак, направленных только на объекты, защищаемые Selectel. В выборку, вероятно, не попали атаки на "Госуслуги" и другие государственные сервисы.
Рост количества DDoS-атак архитектор информационной безопасности UserGate Дмитрий Овчинников, в первую очередь, связывает с распространением цифровых технологий, увеличением количества объектов, подключенных к интернету, а также с тем, что организация подобных атак стала более доступна для злоумышленников.
"DDoS-атака - технически простая акция, требующая только ресурсов, которые атакующие получают, либо взламывая слабо защищенные устройства, либо получая их от политически мотивированных пользователей. Такая атака немного стоит, поэтому часто используется по принципу "попробовать - отказаться", - объяснил заместитель генерального директора ГК "Гарда" Рустэм Хайретдинов.
Ведущий эксперт по сетевым угрозам "Кода Безопасности" Константин Горбунов отметил автоматизацию атак и распространение ИИ-технологий, которые злоумышленники используют при создании вредоносного программного обеспечения (ПО). ИИ значительно уменьшает как временные затраты на подготовку атак, так и "порог входа".
Руководитель департамента технического пресейла Эдгар Микаелян связал рост атак с тем, что, в отличии от уязвимостей в ПО, когда при помощи доработок и патчей можно закрыть недостаток и быть уверенным, что злоумышленники больше не могут эксплуатировать уязвимость, методы для организации DDoS-атак работают по накопительному принципу, начиная с момента их появления. Также имеет значение замедление быстрого роста производительности и функциональности цифровых устройств, из-за чего люди реже заменяют девайсы, и могут не получать от производителей обновления, а также уязвимы для злоумышленников. Кроме того, растет канальная емкость у интернет-провайдеров и количество всевозможных "умных" устройств, подключенных к сети.
"В итоге по всему миру мы имеем десятки и сотни миллионов уязвимых устройств, подключенных к быстрому и качественному интернету. Это дает атакующим бесплатные и практически неограниченные ресурсы для совершения DDoS-атак", - рассказал Эдгар Микаелян.
Еще важен факт, что протоколы, через которые подвергают DDoS-атаке, являются основой интернета, и уязвимости в них нельзя "фиксить", а смена протоколов длится десятилетиями. "За это время можно положить кого угодно. Вдобавок появляются протоколы с новыми уязвимостями, которые пополняют ряды старожилов", - считает Эдгар Микаелян.
Касаемо продолжительности атак, заместитель генерального директора ГК "Гарда" Рустэм Хайретдинов рассказал, что вычислительные мощности дешевеют, у нападающих за те же деньги становится больше ресурсов: "Упрощенно, если три года назад за $1 можно было проливать трафик на цель атаки в течении минуты, то теперь за ту же цену можно делать это три минуты".
"DDoS-атаки не всегда используются как самоцель, а являются отвлекающим маневром от целевой атаки с использованием уязвимости. Служба безопасности вынуждена обращать внимание на инциденты, связанные с DDoS, и меньше обращать внимание на действительно серьезные срабатывания средств защиты. При этом DDos-атака могла быть небольшая и неуспешная, но при этом попала в отчет", - рассказал о причинах роста количества атак руководитель направления информационной безопасности АО "Инфозащита" (iTPROTECT) Кай Михайлов.
Архитектор информационной безопасности UserGate Дмитрий Овчинников считает, что снижения числа атак в ближайшие годы ожидать не стоит. "Рост пропускной способности каналов связи и количества устройств, подключенных к интернету, способствует росту количества атак и их мощности. Возможно, когда рост количества устройств замедлится, ситуация с числом атак постепенно стабилизируется", - сказал Дмитрий Овчинников.
https://www.comnews.ru/content/237774/2025-02-14/2025-w07/1008/yanvare-fishinga-stalo-bolshe