Обзор ландшафта DDoS атак в отчете компании A10 Networks

22.05.2020

DDoS-атака может нанести вред практически любому веб-сайту или онлайн-сервис. Ее идея проста: использование зараженной бот-сети для сосредоточения и переполнения уязвимых серверов огромным количеством трафика. Спустя двадцать лет после своего появления DDoS-атаки остаются столь же эффективными, как и прежде, и продолжают расти по частоте, интенсивности и сложности, что делает защиту от DDoS-атак главным приоритетом в кибербезопасности для каждой организации.

Чтобы помочь компаниям применять упреждающий подход к защите от DDoS-атак, компания A10 Networks опубликовала отчет о текущем ландшафте DDoS угроз, включающий источники атак, используемые службы и методы, для нанесения максимального ущерба. Данное исследование включает анализ шести миллионов источников угроз, которые были отслежены компанией A10 Networks в 4 квартале 2019 года и предоставляет своевременную и всестороннюю информацию для выбора вашей стратегии защиты.

Ключевые выводы отчета:

Атаки отраженного усиления выводят DDoS на новый уровень

Протоколы SNMP и SSDP долгое время были основными источниками усиления DDoS атак, и эта тенденция сохранилась в 4 квартале 2019 года, когда было отслежено почти 1,4 миллиона атак с SNMP и почти 1,2 миллиона атак с SSDP. Однако отмечается тревожная тенденция резкого роста атак WS-Discovery, которые достигли величины почти 800 тысяч и стали третьим по распространенности источником DDoS-атак. Эта тенденция объясняется растущей популярностью атак с использованием неправильно настроенных устройств IoT для усиления атаки.

Совершенствуя этот инновационный вид DDoS-атак, известной как усиление с отражением, хакеры обратили свое внимание на растущее число интернет-устройств IoT, использующих протокол WS-Discovery.

WS-Discovery - это многоадресный протокол связи на основе UDP, предназначенный для автоматического обнаружения служб, подключенных к сети и для поддержки широкого спектра вариантов использования IoT. Важно отметить, что WS-Discovery не выполняет проверку IP-источника, поэтому злоумышленники легко подделывают IP-адрес жертвы, после чего жертва будет завалена данными с соседних устройств IoT.

Более 800 000 узлов WS-Directory, доступных для эксплуатации, показали, что усиление с отражением оказалось очень эффективным - с наблюдаемым 95 кратным усилением максимально. Атаки с отраженным усилением достигли рекордного масштаба, сравнимого с атакой на GitHub со скоростью 1,3 тбит / с на основе Memcached, и составляют большинство DDoS-атак. От них также очень сложно защититься; только 46 процентов атак отвечают порту 3702, как и ожидалось, в то время как 54 процента отвечают портам высокого уровня. Большая часть обнаруженных источников на сегодняшний день находится во Вьетнаме, Бразилии, США, Республике Корея и Китае.

DDoS-атаки перемещаются в сети мобильных операторов

В отличие от более скрытых эксплойтов, DDoS-атаки являются заметными и явными, что позволяет защите определять исходящий источник. Наибольшее количество атак совершается в странах с наибольшей плотностью интернет-соединений, таких как Китай, США и Республика Корея.

A10 Networks также отслеживает размещение DDoS «оружия» в ASN или наборах диапазонов IP-адресов под контролем одной компании или правительства. За исключением США, ведущие ASN, на которых размещено DDoS-оружие, тесно связаны со странами, в которых проводится большинство атак, включая Chinanet, Guangdong Mobile Communication Co. Ltd. и Korea Telecom.

Еще одной ключевой тенденцией стало то, что распространенность DDoS «оружия», размещенного на сетях мобильных операторов, возросла к концу 2019 года. Фактически, наиболее распространенным обнаруженным усиленным источником была Guangdong Mobile Communication Co. Ltd., а бразильская мобильная компания Claro SA - основной источник зараженных вредоносным ПО дронов.

Кибератаки будут только усиливаться

Поскольку устройства IoT подключаются к сети со скоростью 127 штук в секунду и эта скорость только возрастает, хакеры готовятся вступить в золотой век возможностей. Фактически, новые разновидности вредоносных DDoS программ семейсndf Mirai уже нацелены на устройства IoT на базе Linux. И эта тенденция будет только расти.

5G приносит огромное увеличение скорости сети, покрытия и одновременно ставит вопросы безопасности. В то же время DDoS под заказ от владельцев бот сетей становится доступен как никогда ранее и позволяет любому желающему заказать разрушительную целевую атаку.

В отчете компании A10 Networks подчеркивается важность полноценной стратегии защиты от DDoS-атак. Компании и операторы должны использовать сложную разведку угроз в сочетании с обнаружением угроз в реальном времени для защиты от DDoS-атак независимо от того откуда они происходят.

Такие методы, как автоматическое извлечение сигнатур и черные списки IP-адресов бот-сетей и доступных уязвимых серверов, могут помочь организациям активно защищаться даже до начала атак.