Новости

«Лаборатория Касперского» проанализировала DDoS-атаки в четвертом квартале 2016 года

06.02.2017
«Лаборатория Касперского» проанализировала DDoS-атаки в четвертом квартале 2016 года

02.02.2017 компания «Лаборатория Касперского» опубликовала отчет «DDoS-атаки в четвертом квартале 2016 года».

Согласно отчету, в четвертом квартале наибольшему риску атак типа «отказ в обслуживании» (DDoS-атак) подвергались финансовые сервисы. Авторы отчета предполагают, что эта тенденция сохранится и в 2017 году.

DDoS-атаки приобретают характер сложных, тщательно спланированных, постоянно меняющихся многовекторных атак, адаптированных под политику безопасности и размеры инфраструктуры атакуемой организации. 

В отчете отмечается следующие тенденции DDoS-атак, выявленные в течение 2016 года:

  1. Отказ от атак типа Amplification («с усилением»). Это связано с развитием подходов к отражению атак подобного типа и с сокращением доступных злоумышленникам уязвимых хостов-отражателей.
  2. Рост популярности атак на приложение, рост числа таких атак с использованием шифрования, что в большинстве случаев резко повышает эффективность атак и усложняет задачу по их фильтрации. Кроме того, злоумышленники по-прежнему используют комплексный подход, маскируя небольшую, но эффективную атаку на приложение одновременным проведение какой-либо объёмной атаки.
  3. Рост популярности атак типа WordPress Pingback. В настоящее время это одни из самых популярных методов атак на приложение. При относительной простоте организации, данная атака может быть достаточно легко выявлена, но возможность использования шифрования сильно усложняет фильтрацию и увеличивает вредоносный потенциал атак такого типа.
  4. Использование бот-сетей из устройств «Интернета вещей» (IoT-устройств) для проведения DDoS-атак. Принципы и подходы, продемонстрированные создателями бот-сети Mirai, легли в основу большого количества новых бот-сетей, состоящих из IoT-устройств.

Всего за отчетный период DDoS-атакам подверглись ресурсы, расположенные в 80 странах мира (в предыдущем квартале – в 67 странах). 71% атакованных ресурсов были размещены на территории Китая, затем следуют США (13%), Южная Корея (6%) и др.

Как и в предыдущем квартале, продолжительность большинства DDoS-атак составляет менее суток — от 4 часов и меньше (67%). Наиболее продолжительная DDoS-атака длилась 292 часа, что на 8 часов дольше, чем в предыдущем квартале. Чаще всего применялись DDoS-атаки типа SYN-DDoS (75% всех атак), далее следуют TCP-DDoS (11%), HTTP-DDoS (10%), ICMP-DDoS (2,1%), UDP-DDoS (1,4%).

Доля бот-сетей, состоящих из компьютеров, работающих под управлением операционной системы Linux, снизилась на 2,2% и составила 76,7% (79% в предыдущем квартале). Число бот-сетей, состоящих из компьютеров и серверов, работающих под управлением операционной системы Windows, составило 25%.

Согласно отчету, Южная Корея продолжает лидировать по числу управляющих серверов бот-сетей (59%). На втором месте – Китай (9%), затем следуют США (8%), Россия (6%), Нидерланды (3%), Франция (1,6%), Украина (1,6%) и др.

Таким образом, злоумышленники все чаще используют более изощренные методы организации атак, в том числе с шифрованием данных. Большое число уязвимых IoT-устройств и их вовлечение в бот-сети приводит к появлению бот-сетей огромных размеров, с помощью которых проводятся масштабные атаки.