Вторая половина 2012 года и первая 2013-го отметились усилением мощности DDoS-атак и увеличением их продолжительности, заявили специалисты «Лаборатории Касперского». Так, во второй половине 2012 года средняя мощность атаки составляла 34 Мб/с, а в начале этого года — 2,3 Гб/с. При этом максимальная мощность атак в этом полугодии доходила до 60 Гб/с «благодаря» набирающим популярность атакам типа DNS Amplification. Заметим, что максимальная мощность DDoS-атаки во второй половине 2012 года составила лишь 196 Мб/с.
Продолжительность DDoS-атак в Рунете в текущем году выросла до 14 часов. Около 44% ботов или хостов, атакующих веб-ресурсы Рунета, расположены непосредственно на территории России. Почти 7,5% атак «приходит» в русскоязычное интернет-пространство из США, чуть больше 5% — с Украины. В Топ10 стран входят также Индонезия, Индия, Вьетнам, Казахстан, Иран, Таиланд и Филиппины.
Сегодня злоумышленники, чтобы обеспечить недоступность ресурса и заработать деньги, используют различные виды атак, зачастую их комбинируя. Большинство видов атак воздействуют только на конкретный ресурс. Но в погоне за наживой злоумышленники готовы применить инструмент, способный сделать в интернете недоступным все, что угодно: от отдельного провайдера до сегмента сети.
Распространение атак типа DNS Amplification и усиление мощности и размаха DDoS-инцидентов позволяет специалистам говорить о смене тенденции: судя по всему, Рунет перестает быть своего рода «заповедником», где мощные атаки были редки, а интернет-провайдеры и хостеры могли обходиться без интеллектуального контроля трафика. Отличие показателей по DDoS-активности в Рунете и в остальном интернет-мире стремительно сокращается.
«В таких условиях компаниям, ведущим свой бизнес в интернете, может помочь наличие независимой от провайдера сети, подключение своего веб-ресурса к нескольким провайдерам с каналами свыше 10 Гб и наличие квалифицированных специалистов и высококачественного оборудования по фильтрации мощных атак. Наиболее эффективную защиту от мощных атак типа DNS Amplification дает фильтрация UDP-трафика для конкретного IP-адреса на пограничном оборудовании вышестоящего провайдера. Основная сложность здесь состоит в том, что пограничное оборудование многих провайдеров таких функций просто не имеет, поэтому компаниям-клиентам они не доступны. И если при планировании сетей провайдеры не будут учитывать опасность DDoS-атак, ситуация будет лишь ухудшаться: мощности атак будут расти, и мы продолжим наблюдать падение целых провайдерских сетей, хостингов и даже сегментов интернета», — считает Алексей Афанасьев, руководитель проекта Kaspersky DDoS Prevention «Лаборатории Касперского».
Опубликовано 13 сентября 2013 года.