Главная
Блог
Тучи сгущаются: кого кошмарят DDoS-атаками

Тучи сгущаются: кого кошмарят DDoS-атаками

02 ноября 2023
5 минут

DDoS-атака — ночной ужас для начинающего бизнеса в e-commerce и назойливая пчела для крупных корпораций: постоянно жужжит, но иногда и больно жалит. Рассказываем, кого крупно заддосили в 2020–2023 годах и что сделать, чтобы не оказаться в этой подборке.

Ежедневно кого-то ддосят, и кому-то это нужно

Под раздачу попадают все: и крупные сервисы по типу Google и малый бизнес, который только вчера вклинил свой сайт в Сеть поперёк горла конкурентов. Так, для самой масштабной атаки в истории хакерам пришлось формировать сеть из заражённых компьютеров на протяжении полугода. Это был DDoS на серверы Google в 2017 году мощностью 2,54 Тбит/с, но сеть корпорации удержалась.

Но крупные атаки мощностью в несколько Тбит/с всё же редкий случай. Куда больше ударов DDoS направлено на SMB, госсектор и муниципальные учреждения. Такие атаки происходят ежедневно и мотивированы шантажом, устранением конкурентов или геополитическими причинами. Отдельные случаи — личные мотивы: развлечения, наработка хакерского скила, конфликты.

При должном желании заддосить может даже сосед по квартире слева. Или справа
При должном желании заддосить может даже сосед по квартире слева. Или справа

Предприниматели, которые не позаботились о защите от DDoS, часто становятся объектам «школьных» DDoS-атак. Самым громким случаем стала атака в 2000 году на E-Trade, eBay, Amazon и СМИ, организованная обычным подростком из Канады — он создал крупнейший ботнет на то время. Этот случай стал основой для первых законов о кибербезопасности во многих странах.

По данным Kaspersky DDoS Protection, такие DDoS-атаки могли занимать до половины мусорного трафика внутри Сети в сентябре 2019-го и весной 2020-го. Это говорит о необходимости защиты от DDoS для любых компаний, представленных в Сети: даже если у вас нет прямых конкурентов, можно просто попасть под чью-то раздачу.

Кого зацепило: самые громкие случаи

В последние годы DDoS-атаки растут как грибы после дождя. Грибной сезон проходит в сферах e-commerce, ретейле и финтехе, а 2022 год добавил ещё щепотку атак на геополитической почве.

Ковидные удары по e-commerce в 2020-м

Пандемия сделала из онлайн-торговли лакомый кусочек, на который быстро слетелись не только предприниматели, но и ддосеры. Только за 2020 год количество атак на онлайн-магазины удвоилось, а ударной волной зацепило всех: от малых онлайн-шопов до гигантов вроде Amazon. Последних даже брали на излом в трёхдневной осаде с пиковым объёмом трафика 2,3 Тбит/с, но блицкриг ддосеров не удался, и сервисы компании выдержали.

Кто-то явно заточил зуб на Amazon: атаки продолжались весь год, в феврале была самая мощная
Кто-то явно заточил зуб на Amazon: атаки продолжались весь год, в феврале была самая мощная

Для этой атаки использовался протокол CLDAP, который усиливает DDoS в 56 раз и в 70 раз на пике. С его помощью мошенники подключаются к доступным в Сети каталогам и модифицируют информацию, которая там хранится. По итогу получается мощная армия, готова в моменте слать гигантскую кучу мусорного трафика.

Ещё 2020 год запомнился форсированием быстрых и дешёвых инструментов для организации длительных DDoS, которые брали на измор. Например, в тренде были атаки с применением DNS-амплификаций или NTP-амплификаций, мощность которых не превышала 3 Гб/с, но стабильно забивала канал и перегружала серверы.

Атаки по онлайн-ресурсам в 2021-м

Стойкость крупных e-com-проектов доказала, что для серьёзного DDoS нужны солидные ресурсы — те, что справятся с облачными фильтрами трафика. Это сильно захайпило ботнеты — сети из заражённых устройств, которые используются для массового ддоса. Так, в 2021-м центром внимания стал ботнет Mēris, который почти год лихорадил сервисы Microsoft Azure и «Яндекс».

Пиковые атаки Microsoft Azure достигали 2,4 Тбит/с. Хотя DDoS длился всего 9 минут, без серьёзной защиты сервер быстро бы посыпался.

Кто-то явно заточил зуб на Amazon: атаки продолжались весь год, в феврале была самая мощная
Интервальный DDoS похож на полицейские шипы: глубокие и занимают всю дорогу, мимо не проскочишь. Источник

Инструментом атаки стал UDP с очень кратковременными пакетами. Каждый из них за доли секунды увеличивался до терабитных объёмов, при этом защита Azure зафиксировала более 70 000 источников трафика из Китая, Японии, Малайзии, Вьетнама, Тайваня.

Досталось и «Яндексу»: 5-минутный DDoS осыпал серверы компании потоком в 21,8 млн RPS. При этом «Яндекс» насчитал не менее 56 000 устройств, которые слали мусорный трафик.

Кто-то явно заточил зуб на Amazon: атаки продолжались весь год, в феврале была самая мощная
Короткий, но глубокий удар — такой DDoS, как кинжал ассасина, способен быстро и метко вывести из строя.Источник

Mēris использовал высокопроизводительные устройства, в отличие от простых ботнетов, которые обычно окучивали простенькие девайсы по типу маршрутизаторов и IP-камер. Такой подход сделал ботнет ещё опаснее.

Пик DDoS по российской IT-инфраструктуре в 2022-м

Прошлый год стянул всё внимание ддосеров к одной стране. Штормить по государственному и финансовому сектору в РФ стало более экономически выгодно, чем донимать крупные интернет-магазины и онлайн-сервисы. Вдобавок ддосеры зацепили сайты образовательных учреждений, IT-компаний и даже онлайн-кинотеатров.

Под политической эгидой атаковать российские компании стало прибыльнее. Особенно если это социально значимые объекты
Под политической эгидой атаковать российские компании стало прибыльнее. Особенно если это социально значимые объекты.Источник

Вспомним случаи успешных DDoS-атак на российские сервисы:

  • 25 февраля легли «Госуслуги» — прилетело около 50 атак средней мощностью 1 Тбайт/с.
  • Со 2 по 5 мая сбои ЕГАИС из-за DDoS задержали поставки алкоголя по всей стране.
  • 9 июня почти на сутки упал сайт Роспотребнадзора.
  • 28 июня досталось Роскосмосу, сайт тоже не устоял.
  • С 20 по 30 июля прилетело региональным СМИ, пострадало почти 70 изданий.
  • 1 сентября пострадали российские сервисы ЭДО.
  • С 9 по 11 сентября система электронного голосования работала как старый Celeron.

Как оказалось, это были только цветочки: разрозненные и непродолжительные атаки.

Точечные сильные удары по российской киберзащите в 2023-м

Куда хуже стало в 2023-м: только за первый квартал в России зарегистрировано более 3 848 000 DDoS-атак. При этом ддосеры перешли к более концентрированным ударам по сфере кибербезопасности, чтобы в целом ослабить IT-среду в РФ.

Ярким примером стала мощная атака на BI.ZONE — компанию по управлению цифровыми рисками. DDoS проводился уже знакомым инструментом UDP-flood: на сервер отправилась туча поддельных UDP‑пакетов с разных IP‑адресов. Единственное, что спасло BI.ZONE, — распределительная структура сети Qrator Labs, которая переварила большой поток подменного трафика без остановки сервисов.

Вот такая горочка в 1,3 Тб/с насыпалась BI.ZONE в этом году
Вот такая горочка в 1,3 Тб/с насыпалась BI.ZONE в этом году.Источник

Что делать, если попали под раздачу: как защититься от DDoS?

Любой бизнес для хакеров как мулета для быка, и, чтобы не стать главной звездой корриды, стоит позаботиться хотя бы о базовой защите. Чтобы вас не затоптали:

  • Используйте файрвол. Он нужен для фильтрации трафика, а также блокировки подозрительных соединений и ограничения количества запросов.
  • Подключите VPN. При помощи VPN можно скрыть свой фактический IP-адрес путём переадресации трафика на удалённый сервер.
  • Используйте CDN-партнёра. Сети доставки контента — CDN — копируют контент на другие серверы по всему миру, равномерно распределяя для снижения нагрузки на исходный сервер и ускорения работы ресурса.
  • Очищайте кеш DNS. Своевременно очищая кеш DNS, вы не дадите хакерам подменить ваш IP-адрес в кеше сервера. Кроме того, очищенный кеш ускоряет работу ресурса.
  • Настройте лимит для DNS-серверов. Запустите специальный инструмент DNS Response Rate Limiting и лимитируйте число ответов одному IP-адресу за короткий промежуток времени.
  • Задействуйте средства защиты провайдера. У операторов связи можно заказать дополнительные каналы и инструменты защиты от DDoS уровня L3 или L4.

Несмотря на постоянную угрозу высокоуровневых атак, более 30% российских компаний из топ-100 всё ещё используют защиту только на уровне L3–L4, из-за чего большинство ресурсов не способны справиться с более мощными DDoS.

Cкидки до 100% на модуль DDoS-Guard

Чтобы ваш сервер не отъехал на паровозной тяге при первом мало-мальском DDoS, придётся позаботиться о защите — иначе никак. В ispmanager есть платный модуль DDoS-Guard*, который фильтрует нелегитимные подключения и оптимально распределяет нагрузку на сервер.

До 31 декабря 2023 модуль DDoS-Guard можно получить со скидкой до 100% — переходите по кнопке ниже, чтобы узнать,как!

Получить скидку на DDoS-Guard до 100%

*По решению вендора модуль DDoS-Guard не предоставляется госудраственным учреждениям.

Подписка на новости
Подпишитесь на новостную рассылку ispmanager и получайте самые лучшие материалы каждую неделю