Новости

Лаборатория Касперского проанализировала DDoS-атаки в первом квартале 2016 года

21.04.2016
Лаборатория Касперского проанализировала DDoS-атаки в первом квартале 2016 года
21.04.2016 компания «Лаборатория Касперского» опубликовала отчет «DDoS-атаки в первом квартале 2016 года». В отчете отмечаются следующие тенденции: продолжается применение распределенных атак типа «отказ в обслуживании» (DDoS-атак), использующих методы усиления для преодоления защитных мер, увеличивается число случаев проведения DDoS-атак на уровне приложения.

Для реализации DDoS-атак методом усиления преступники все чаще используют протокол DNSSEC, задача которого минимизировать атаки, направленные на подмену DNS-адреса. Стандартный ответ по протоколу DNSSEC помимо данных о домене содержит дополнительную аутентификационную информацию и достигает около 4096 байт, в отличие от стандартного ответа DNS, который имеет объем 512 байт.

Для реализации атак на уровне приложений злоумышленники продолжают использовать функцию «pingback» в системе управления контентом (Content management system, CMS) WordPress. Она позволяет осуществлять специальные XML-RPC запросы, большое число которых может вызвать ошибку типа «отказ в обслуживании» в отношении определенного сайта.

Всего в первом квартале 2016 года DDoS-атакам подвергались ресурсы, расположенные в 74 странах мира (в последнем квартале 2015 года – в 69 странах). 93% атакованных ресурсов были размещены на территории следующих 10 стран: Китая (55%), Южной Кореи (20%), США (9%), Украины (2%), России (2%), Вьетнама (1,4%), Японии (1%) и др.

Как и в предыдущем квартале, продолжительность большинства DDoS-атак составляет менее суток — от 4 часов и меньше (70%). Наиболее продолжительная DDoS-атака длилась 197 часов (8,2 дня), что существенно ниже максимума прошлого квартала (13,9 дней, 333 часа). При этом участились множественные атаки на одну цель (до 33 атак на один ресурс за период).

Динамика проведения DDoS-атак достаточно ровная и характеризуется одним пиковым периодом: на 31 марта пришлось наибольшее число атак — 1271.

Чаще всего применялись DDoS-атаки типа SYN-DDoS (57% всех атак), далее следуют TCP-DDoS (22%), HTTP-DDoS (15%), ICMP-DDoS (3,6%). Число атак типа UDP-DDoS (2,4%) продолжает снижаться.

Согласно отчету, Южная Корея продолжает лидировать по числу управляющих серверов бот-сетей (67%, что на 8% больше, чем в предыдущем квартале). На втором месте Китай (9,5%), затем следуют США (6,8%), Россия (3%) и др. Впервые в этот рейтинг попала Франция (1,2%).

С 45% до 55% увеличилась доля бот-сетей, состоящих из компьютеров и серверов, работающих под управлением операционной системы Windows. Соответственно, снизилась доля бот-сетей, состоящих из компьютеров, работающих под управлением операционной системы Linux.