vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
Эксперты уже продолжительное время наблюдают тенденцию к непрерывному росту количества и мощности DDoS-атак. Это негативно сказывается на доступности как публичных, так и корпоративных сервисов. При этом последствия могут быть разными — от финансовых потерь и утечек данных до репутационного ущерба.
Для борьбы с DDoS-атаками важно всегда держать руку на пульсе и следить за динамикой. Так, мы уже публиковали аналитический отчет за первое полугодие 2024 года и выяснили, что тенденция не иллюзорна. С января по июнь нашим бесплатным сервисом защиты от DDoS были отражены 31 436 атак длительностью в 3 895 часов. При этом максимальный объем атак составил 332 Гбит/с, а скорость — 166 млн пакетов в секунду. Более подробные выводы можно посмотреть .
Но как показал себя DDoS во втором полугодии? Есть ли тенденция на спад атак или стало только хуже? Более 25 000 клиентов Selectel генерируют сетевой трафик объемом свыше 300 Гбит/с. Уникальные данные, которые мы получаем в ходе анализа атак на наши сервисы и проекты клиентов, позволяют оценить ландшафт угроз для облачной инфраструктуры. В этом материале мы проанализировали данные собственного мониторинга и собрали аналитику по DDoS-атакам, отраженным с помощью за второе полугодие 2024.
Рекомендуем сохранить отчет и поделиться им со своими специалистами. Приведенные данные позволяют оценить динамику и основные характеристики DDoS в разрезе облачной инфраструктуры, скорректировать настройки своих IT-систем для защиты.
Анализ приведенной в отчете статистики указывает на наличие тенденции к резкому увеличению общего количества инцидентов при постепенном увеличении мощности и снижении скорости атак в сравнении с первым полугодием 2024 года.
За период с июля по декабрь 2024 года бесплатным сервисом защиты от DDoS-атак Selectel были отражены 80 735 атак общей продолжительностью 9 718 часов. Максимальный объем атаки составил 412 Гбит/с, а скорость — 103 миллиона пакетов в секунду. В среднем мы отражали 13 455 атак ежемесячно. При этом самыми популярными были атаки типа TCP PSH/ACK Flood, TCP SYN Flood и UDP Flood, которые занимают 70% от общего количества атак.
Наиболее мощные атаки наблюдались в июле и ноябре, а продолжительные — в октябре. Средняя общая длительность атак на одного клиента не превышала 10 часов, а максимальное время, в течение которого один клиент находился под атакой, достигло 492 часов.
Максимальное количество атак за месяц на одного клиента во втором полугодии составило 4 621 инцидент. Подобный объем невозможно отбить вручную, поэтому базовая бесплатная защита — важная часть услуг облачного провайдера.
Аналитика атак
Количество
За период с июля по декабрь 2024 года бесплатным сервисом защиты от DDoS-атак Selectel были отражены 80 735 атак. Вместе с этим наибольшее число инцидентов пришлось на октябрь. В среднем мы отражали 13 455 атак в месяц и 65 — на каждого атакованного клиента.
Максимальное число атак на одного клиента варьировалось от месяца к месяцу и в среднем составило 2 780 инцидентов. А наибольшее количество было зафиксировано в сентябре — 4 621 инцидент.
Мощность
Основные характеристики атаки, определяющие ее мощность на сетевом и транспортном уровнях, — это объем и скорость.
Атаки большого объема, измеряемого в количестве переданных бит за одну секунду, направлены на переполнение полосы пропускания. Наибольший объем был достигнут в ноябре и составил 412 Гбит/с.
Несмотря на рекордный объем атак в ноябре, средний объем переданных данных за один инцидент в этом месяце оказался близким к минимальному. Притом наибольшее значение среднего объема переданных данных за атаку составило 48 ГБ и было отмечено в июле. А вот среднее количество переданных пакетов колебалось в десятки раз. Максимальное значение в 500 миллионов, также зафиксированное в июле, в 24 раза превышает минимальное, которое зарегистрировано в сентябре.
Атаки с большой скоростью направлены на исчерпание вычислительных ресурсов сетевого оборудования. Самый скоростной инцидент был зафиксирован в июле. Значение достигло 103 миллионов пакетов в секунду, что почти в пять раз больше максимальной скорости атаки в декабре.
Продолжительность
Суммарная продолжительность атак с июля по декабрь 2024 года составила 9 718 часов. А наибольшая продолжительность зарегистрирована в октябре и достигает 2 167 часов. Это почти в два раза больше, чем в ноябре.
Наибольшая продолжительность атак зарегистрирована в октябре. Она достигает 2 167 часов. Это почти в 2 раза превышает показатель ноября.
За исключением июля, средняя длительность атаки не превышала 7 минут, а максимальная длительность зафиксирована в декабре — 202 часа, что почти в 10 раз больше значений предыдущих месяцев.
При этом средняя общая продолжительность атак на одного клиента во втором полугодии 2024 года не превышала 10 часов. А максимальная — превысила 492 часа за один календарный месяц.
Типы атак
Распределение типов атак по месяцам во втором полугодии 2024 года менялось незначительно. Самыми популярными были атаки типа TCP PSH/ACK Flood, TCP SYN Flood и UDP Flood, которые занимают 70% от общего количества атак.
UDP Flood осуществляется путем отправки большого количества UDP-датаграмм на заданные или случайные порты целевого узла. Узел обрабатывает каждый пакет, определяет, к какому приложению он относится, проверяет наличие активности и отправляет ICMP-сообщение с уведомлением о недоступности адресата. Эти операции требуют вычислительных ресурсов, и при большом количестве могут привести к перегрузке атакуемого узла.
TCP SYN Flood реализуется путем отправки множества SYN-запросов на подключение, при этом ответные SYN+ACK пакеты, отправленные сервером, игнорируются. Это приводит к тому, что на сервере появляется очередь из полуоткрытых соединений, которые не позволяют установить новые — легальные — подключения, что приводит к невозможности подключения легитимных пользователей или длительному ожиданию.
TCP PSH/ACK Flood осуществляется путем отправки большого количества фальшивых ACK-пакетов на заданные или случайные номера портов целевого узла, которые не соответствуют ни одной из активных сессий. В результате узел вынужден затрачивать ресурсы на проверку этих поддельных пакетов.
Итоги 2024 года
По результатам анализа показателей мы наблюдаем непрерывный значительный рост количества атак, их мощности и скорости. Атаки носят массовый характер, а в случае выбора конкретной цели злоумышленники атакуют инфраструктуру в течение длительного времени. Инциденты продолжаются десятки, иногда сотни часов. А количество атак на один сервис или организацию исчисляется тысячами.
Всего за 2024 год мы отразили 112 171 атаку на клиентов облачной инфраструктуры. Количество инцидентов во втором полугодии увеличилось с 31 436 до 80 735 (в 2,5 раза), среднее количество атак на одного клиента — с 27 до 65 (в 2,4 раза), а максимальное — с 1 278 до 4 621 (в 3,6 раза).
Максимальный объем был в ноябре и составил 412 Гбит/с, а максимальная скорость — 166 миллионов пакетов в секунду, что зафиксировано в феврале. А количество переданных данных, как и количество пакетов, держится в одном диапазоне от месяца к месяцу, кроме аномального всплеска в июле.
Общее время, в течение которого наши клиенты были под атакой, составило 13 613 часов. Вместе с увеличением количества атак выросла и их общая продолжительность, когда как средняя длительность одной атаки изменяется незначительно.
Участились повторные инциденты, поэтому показатель максимальной общей длительности атак на одного клиента увеличился со 172 часов в апреле до 492 в июле, а максимальное время одной атаки составило 202 часа в декабре — против 156 часов в апреле.
Самыми популярными атаками стали UDP Flood, TCP SYN Flood и TCP PSH/ACK Flood. На их долю приходится 70% всех инцидентов.
Методология
Основной источник данных для отчета — системы защиты от DDoS-атак, которые мы используем на уровне сетевой инфраструктуры дата-центров Selectel. Весь входящий трафик проходит через узлы очистки и анализируется на наличие вредоносной активности.
Бесплатный сервис защиты от DDoS-атак работает при использовании облачной платформы Selectel, платформенных сервисов и выделенных серверов, включая аттестованные сегменты.
Сервис обеспечивает защиту на сетевом (L3) и транспортном (L4) уровнях от:
- атак с отражением на основе UDP (DNS, NTP, memcache и пр.);
- атак с использованием фрагментированного IP-трафика;
- TCP SYN/RST/PSH flood;
- различных типов UDP flood и ICMP flood.
Отдельной атакой считается вредоносная активность, которая:
- направлена на конкретный IP-адрес;
- относится к одному типу атак;
- имеет перерывы в активности не более трех минут.
Пример 1. Атаки UDP Flood на один и тот же IP-адрес с промежутком в минуту будут объединены в одну. В течение трех минут после прекращения активности атака будет считаться завершенной.
Пример 2. Одновременно один и тот же IP-адрес атакуют с помощью Flood- и Reflection-атак. Активность продолжается в течение семи минут. В данном случае будет зафиксировано две атаки.
