В первой половине 2015 года компания Qrator Labs с помощью собственного одноименного сервиса нейтрализовала 9347 DDoS-атак. В аналогичном периоде 2014 года эта цифра составила 2715. Рост общего числа атак обусловлен как ростом клиентской базы компании, так и существенным повышением активности киберпреступников. Максимальное число атак в день, нейтрализованных сетью фильтрации трафика Qrator, увеличилось с 38 в первом полугодии 2014 до 109 в 2015 году. Также выросло и среднее количество DDoS в день — с 15 до 51 соответственно. Отчет подготовили компании Qrator Labs и Wallarm.
Максимальный размер ботнета, задействованного в атаке, уменьшился с 420 489 до 162 528 машин, а максимальная длительность атаки увеличилась с 91 дня в 2014 году до 122 дней в 2015-м. Увеличилась также доля Spoofing-атак, в которых вместо IP-адреса реального пользователя подставляется фальшивый — с 1557 до 6065.
По сравнению с первой половиной 2014 года, в аналогичном периоде 2015-го число атак со скоростью более 1 Гб/с выросло со 198 до 276. Увеличилось количество и высокоскоростных атак (более 100 Гб/с) — с 45 до 67 соответственно.
«Продолжается тенденция увеличения массовости простых DDoS-атак. Общий рост в немалой степени обусловлен атаками на полосу скоростью около 1 Гб/с. Такой полосы недостаточно, чтобы создать проблемы крупным интернет-сервисам, но достаточно для небольших сайтов, которые размещены на хостинге со скромными ресурсами, например, с 1 Гб пропускной полосы на всю стойку физических серверов. Кроме того, затраты на проведение таких атак невысоки, и, соответственно, они относительно дешевы для заказчика. Поэтому компаниям с бизнесом в интернете, у которых нет профильных специалистов, стоит насторожиться. Рост атак на компании из сектора e-commerce и услуг такси в частности это наглядно иллюстрирует», — прокомментировал Александр Лямин, руководитель QratorLabs.
Наметился тренд по уменьшению количества амплификаторов в сети благодаря действиям операторов связи по противодействию данной угрозе. Однако, вопреки прогнозам, этого пока недостаточно, чтобы сократилось число атак с применением амплификаторов. Их все равно еще слишком много и достаточно для организации атаки полосой в несколько сотен гигабит в секунду.
Результаты исследования также показали, что снова появилась тенденция по увеличению числа DDoS-атак на веб-приложения на уровне L7 сетевой модели OSI с использованием классических ботнетов. Такой ботнет может по удаленной команде выполнять сетевые атаки без ведома владельцев зараженных компьютеров. Если раньше ботнеты использовались в основном для рассылки спама, майнинга криптовалют и выполнения примитивных DDoS-атак, то сегодня они стали более серьезной угрозой безопасности. По прогнозам Qrator Labs, подобных атак в ближайшее время станет еще больше.
Объемные DDoS-атаки стали проводиться все реже, но иногда они опять возвращаются. Яркий пример — атаки с использованием серверов WordPress.
«В 2015 году появился новый тренд — атаки на инфраструктуру сети (маршрутизаторы, коммутаторы), в том числе манипуляции с протоколами маршрутизации. Такие атаки влияют не на приложения или каналы, а на информацию о маршрутах, работоспособность оборудования, которое пересылает пакеты. В этом направлении будет смещаться фокус атак в ближайшие несколько лет, поскольку с атаками на полосу пропускания, например, уже научились бороться, методы очевидны, и противодействовать им легко. А атаки, влияющие на инфраструктуру сети, крайне разрушительны, поскольку их сложно обнаружить, и методы противодействия только начинают разрабатываться», — добавил Александр Лямин.
В первой половине 2015 года компания Wallarm зарегистрировала на 37,8% больше атак на уровень приложений, чем за аналогичный период 2014 года.
Доля проектов, где за первый месяц не было обнаружено ни одной уязвимости, как и в прошлом году, не превысила 2%. Зоны риска взломов по отраслям, по сравнению с 2014 годом, выглядят иначе. На первое место вышла игровая индустрия, а лидер прошлого года — электронный банкинг — опустился на 4 позицию.