Тучи сгущаются: кого кошмарят DDoS-атаками
DDoS-атака — ночной ужас для начинающего бизнеса в e-commerce и назойливая пчела для крупных корпораций: постоянно жужжит, но иногда и больно жалит. Рассказываем, кого крупно заддосили в 2020–2023 годах и что сделать, чтобы не оказаться в этой подборке.
Ежедневно кого-то ддосят, и кому-то это нужно
Под раздачу попадают все: и крупные сервисы по типу Google и малый бизнес, который только вчера вклинил свой сайт в Сеть поперёк горла конкурентов. Так, для самой масштабной атаки в истории хакерам пришлось формировать сеть из заражённых компьютеров на протяжении полугода. Это был DDoS на серверы Google в 2017 году мощностью 2,54 Тбит/с, но сеть корпорации удержалась.
Но крупные атаки мощностью в несколько Тбит/с всё же редкий случай. Куда больше ударов DDoS направлено на SMB, госсектор и муниципальные учреждения. Такие атаки происходят ежедневно и мотивированы шантажом, устранением конкурентов или геополитическими причинами. Отдельные случаи — личные мотивы: развлечения, наработка хакерского скила, конфликты.
Предприниматели, которые не позаботились о защите от DDoS, часто становятся объектам «школьных» DDoS-атак. Самым громким случаем стала атака в 2000 году на E-Trade, eBay, Amazon и СМИ, организованная обычным подростком из Канады — он создал крупнейший ботнет на то время. Этот случай стал основой для первых законов о кибербезопасности во многих странах.
По данным Kaspersky DDoS Protection, такие DDoS-атаки могли занимать до половины мусорного трафика внутри Сети в сентябре 2019-го и весной 2020-го. Это говорит о необходимости защиты от DDoS для любых компаний, представленных в Сети: даже если у вас нет прямых конкурентов, можно просто попасть под чью-то раздачу.
Кого зацепило: самые громкие случаи
В последние годы DDoS-атаки растут как грибы после дождя. Грибной сезон проходит в сферах e-commerce, ретейле и финтехе, а 2022 год добавил ещё щепотку атак на геополитической почве.
Ковидные удары по e-commerce в 2020-м
Пандемия сделала из онлайн-торговли лакомый кусочек, на который быстро слетелись не только предприниматели, но и ддосеры. Только за 2020 год количество атак на онлайн-магазины удвоилось, а ударной волной зацепило всех: от малых онлайн-шопов до гигантов вроде Amazon. Последних даже брали на излом в трёхдневной осаде с пиковым объёмом трафика 2,3 Тбит/с, но блицкриг ддосеров не удался, и сервисы компании выдержали.
Для этой атаки использовался протокол CLDAP, который усиливает DDoS в 56 раз и в 70 раз на пике. С его помощью мошенники подключаются к доступным в Сети каталогам и модифицируют информацию, которая там хранится. По итогу получается мощная армия, готова в моменте слать гигантскую кучу мусорного трафика.
Ещё 2020 год запомнился форсированием быстрых и дешёвых инструментов для организации длительных DDoS, которые брали на измор. Например, в тренде были атаки с применением DNS-амплификаций или NTP-амплификаций, мощность которых не превышала 3 Гб/с, но стабильно забивала канал и перегружала серверы.
Атаки по онлайн-ресурсам в 2021-м
Стойкость крупных e-com-проектов доказала, что для серьёзного DDoS нужны солидные ресурсы — те, что справятся с облачными фильтрами трафика. Это сильно захайпило ботнеты — сети из заражённых устройств, которые используются для массового ддоса. Так, в 2021-м центром внимания стал ботнет Mēris, который почти год лихорадил сервисы Microsoft Azure и «Яндекс».
Пиковые атаки Microsoft Azure достигали 2,4 Тбит/с. Хотя DDoS длился всего 9 минут, без серьёзной защиты сервер быстро бы посыпался.
Инструментом атаки стал UDP с очень кратковременными пакетами. Каждый из них за доли секунды увеличивался до терабитных объёмов, при этом защита Azure зафиксировала более 70 000 источников трафика из Китая, Японии, Малайзии, Вьетнама, Тайваня.
Досталось и «Яндексу»: 5-минутный DDoS осыпал серверы компании потоком в 21,8 млн RPS. При этом «Яндекс» насчитал не менее 56 000 устройств, которые слали мусорный трафик.
Mēris использовал высокопроизводительные устройства, в отличие от простых ботнетов, которые обычно окучивали простенькие девайсы по типу маршрутизаторов и IP-камер. Такой подход сделал ботнет ещё опаснее.
Пик DDoS по российской IT-инфраструктуре в 2022-м
Прошлый год стянул всё внимание ддосеров к одной стране. Штормить по государственному и финансовому сектору в РФ стало более экономически выгодно, чем донимать крупные интернет-магазины и онлайн-сервисы. Вдобавок ддосеры зацепили сайты образовательных учреждений, IT-компаний и даже онлайн-кинотеатров.
Вспомним случаи успешных DDoS-атак на российские сервисы:
- 25 февраля легли «Госуслуги» — прилетело около 50 атак средней мощностью 1 Тбайт/с.
- Со 2 по 5 мая сбои ЕГАИС из-за DDoS задержали поставки алкоголя по всей стране.
- 9 июня почти на сутки упал сайт Роспотребнадзора.
- 28 июня досталось Роскосмосу, сайт тоже не устоял.
- С 20 по 30 июля прилетело региональным СМИ, пострадало почти 70 изданий.
- 1 сентября пострадали российские сервисы ЭДО.
- С 9 по 11 сентября система электронного голосования работала как старый Celeron.
Как оказалось, это были только цветочки: разрозненные и непродолжительные атаки.
Точечные сильные удары по российской киберзащите в 2023-м
Куда хуже стало в 2023-м: только за первый квартал в России зарегистрировано более 3 848 000 DDoS-атак. При этом ддосеры перешли к более концентрированным ударам по сфере кибербезопасности, чтобы в целом ослабить IT-среду в РФ.
Ярким примером стала мощная атака на BI.ZONE — компанию по управлению цифровыми рисками. DDoS проводился уже знакомым инструментом UDP-flood: на сервер отправилась туча поддельных UDP‑пакетов с разных IP‑адресов. Единственное, что спасло BI.ZONE, — распределительная структура сети Qrator Labs, которая переварила большой поток подменного трафика без остановки сервисов.
Что делать, если попали под раздачу: как защититься от DDoS?
Любой бизнес для хакеров как мулета для быка, и, чтобы не стать главной звездой корриды, стоит позаботиться хотя бы о базовой защите. Чтобы вас не затоптали:
- Используйте файрвол. Он нужен для фильтрации трафика, а также блокировки подозрительных соединений и ограничения количества запросов.
- Подключите VPN. При помощи VPN можно скрыть свой фактический IP-адрес путём переадресации трафика на удалённый сервер.
- Используйте CDN-партнёра. Сети доставки контента — CDN — копируют контент на другие серверы по всему миру, равномерно распределяя для снижения нагрузки на исходный сервер и ускорения работы ресурса.
- Очищайте кеш DNS. Своевременно очищая кеш DNS, вы не дадите хакерам подменить ваш IP-адрес в кеше сервера. Кроме того, очищенный кеш ускоряет работу ресурса.
- Настройте лимит для DNS-серверов. Запустите специальный инструмент DNS Response Rate Limiting и лимитируйте число ответов одному IP-адресу за короткий промежуток времени.
- Задействуйте средства защиты провайдера. У операторов связи можно заказать дополнительные каналы и инструменты защиты от DDoS уровня L3 или L4.
Несмотря на постоянную угрозу высокоуровневых атак, более 30% российских компаний из топ-100 всё ещё используют защиту только на уровне L3–L4, из-за чего большинство ресурсов не способны справиться с более мощными DDoS.
*По решению вендора модуль DDoS-Guard не предоставляется госудраственным учреждениям.