Тучи сгущаются: кого кошмарят DDoS-атаками

DDoS-атака — ночной ужас для начинающего бизнеса в e-commerce и назойливая пчела для крупных корпораций: постоянно жужжит, но иногда и больно жалит. Рассказываем, кого крупно заддосили в 2020–2023 годах и что сделать, чтобы не оказаться в этой подборке.

Под раздачу попадают все: и крупные сервисы по типу Google и малый бизнес, который только вчера вклинил свой сайт в Сеть поперёк горла конкурентов. Так, для самой масштабной атаки в истории хакерам пришлось формировать сеть из заражённых компьютеров на протяжении полугода. Это был DDoS на серверы Google в 2017 году мощностью 2,54 Тбит/с, но сеть корпорации удержалась.

Но крупные атаки мощностью в несколько Тбит/с всё же редкий случай. Куда больше ударов DDoS направлено на SMB, госсектор и муниципальные учреждения. Такие атаки происходят ежедневно и мотивированы шантажом, устранением конкурентов или геополитическими причинами. Отдельные случаи — личные мотивы: развлечения, наработка хакерского скила, конфликты.

Предприниматели, которые не позаботились о защите от DDoS, часто становятся объектам «школьных» DDoS-атак. Самым громким случаем стала атака в 2000 году на E-Trade, eBay, Amazon и СМИ, организованная обычным подростком из Канады — он создал крупнейший ботнет на то время. Этот случай стал основой для первых законов о кибербезопасности во многих странах.

По данным Kaspersky DDoS Protection, такие DDoS-атаки могли занимать до половины мусорного трафика внутри Сети в сентябре 2019-го и весной 2020-го. Это говорит о необходимости защиты от DDoS для любых компаний, представленных в Сети: даже если у вас нет прямых конкурентов, можно просто попасть под чью-то раздачу.

В последние годы DDoS-атаки растут как грибы после дождя. Грибной сезон проходит в сферах e-commerce, ретейле и финтехе, а 2022 год добавил ещё щепотку атак на геополитической почве.

Пандемия сделала из онлайн-торговли лакомый кусочек, на который быстро слетелись не только предприниматели, но и ддосеры. Только за 2020 год количество атак на онлайн-магазины удвоилось, а ударной волной зацепило всех: от малых онлайн-шопов до гигантов вроде Amazon. Последних даже брали на излом в трёхдневной осаде с пиковым объёмом трафика 2,3 Тбит/с, но блицкриг ддосеров не удался, и сервисы компании выдержали.

Для этой атаки использовался протокол CLDAP, который усиливает DDoS в 56 раз и в 70 раз на пике. С его помощью мошенники подключаются к доступным в Сети каталогам и модифицируют информацию, которая там хранится. По итогу получается мощная армия, готова в моменте слать гигантскую кучу мусорного трафика.

Ещё 2020 год запомнился форсированием быстрых и дешёвых инструментов для организации длительных DDoS, которые брали на измор. Например, в тренде были атаки с применением DNS-амплификаций или NTP-амплификаций, мощность которых не превышала 3 Гб/с, но стабильно забивала канал и перегружала серверы.

Стойкость крупных e-com-проектов доказала, что для серьёзного DDoS нужны солидные ресурсы — те, что справятся с облачными фильтрами трафика. Это сильно захайпило ботнеты — сети из заражённых устройств, которые используются для массового ддоса. Так, в 2021-м центром внимания стал ботнет Mēris, который почти год лихорадил сервисы Microsoft Azure и «Яндекс».

Пиковые атаки Microsoft Azure достигали 2,4 Тбит/с. Хотя DDoS длился всего 9 минут, без серьёзной защиты сервер быстро бы посыпался.

Инструментом атаки стал UDP с очень кратковременными пакетами. Каждый из них за доли секунды увеличивался до терабитных объёмов, при этом защита Azure зафиксировала более 70 000 источников трафика из Китая, Японии, Малайзии, Вьетнама, Тайваня.

Досталось и «Яндексу»: 5-минутный DDoS осыпал серверы компании потоком в 21,8 млн RPS. При этом «Яндекс» насчитал не менее 56 000 устройств, которые слали мусорный трафик.

Mēris использовал высокопроизводительные устройства, в отличие от простых ботнетов, которые обычно окучивали простенькие девайсы по типу маршрутизаторов и IP-камер. Такой подход сделал ботнет ещё опаснее.

Прошлый год стянул всё внимание ддосеров к одной стране. Штормить по государственному и финансовому сектору в РФ стало более экономически выгодно, чем донимать крупные интернет-магазины и онлайн-сервисы. Вдобавок ддосеры зацепили сайты образовательных учреждений, IT-компаний и даже онлайн-кинотеатров.

Вспомним случаи успешных DDoS-атак на российские сервисы:

Как оказалось, это были только цветочки: разрозненные и непродолжительные атаки.

Куда хуже стало в 2023-м: только за первый квартал в России зарегистрировано более 3 848 000 DDoS-атак. При этом ддосеры перешли к более концентрированным ударам по сфере кибербезопасности, чтобы в целом ослабить IT-среду в РФ.

Ярким примером стала мощная атака на BI.ZONE — компанию по управлению цифровыми рисками. DDoS проводился уже знакомым инструментом UDP-flood: на сервер отправилась туча поддельных UDP‑пакетов с разных IP‑адресов. Единственное, что спасло BI.ZONE, — распределительная структура сети Qrator Labs, которая переварила большой поток подменного трафика без остановки сервисов.

Любой бизнес для хакеров как мулета для быка, и, чтобы не стать главной звездой корриды, стоит позаботиться хотя бы о базовой защите. Чтобы вас не затоптали:

Несмотря на постоянную угрозу высокоуровневых атак, более 30% российских компаний из топ-100 всё ещё используют защиту только на уровне L3–L4, из-за чего большинство ресурсов не способны справиться с более мощными DDoS.

*По решению вендора модуль DDoS-Guard не предоставляется госудраственным учреждениям.