Subscribe to receive notifications of new posts:

Mantis — самый мощный ботнет за все время наблюдений

07/14/2022

3 min read
Mantis - the most powerful botnet to date

В июне 2022 года мы сообщили о крупнейшей DDoS-атаке по HTTPS, которую нам удалось нейтрализовать — кибератаке мощностью 26 миллионов запросов в секунду, самой крупной за все время наблюдений. Наши системы автоматически обнаружили и нейтрализовали ее, как и многие другие DDoS-атаки. С тех пор мы отслеживаем этот ботнет (мы назвали его Mantis), а также осуществляемые с его помощью атаки, направленные против почти тысячи клиентов Cloudflare.

Клиенты Cloudflare WAF/CDN защищены от DDoS-атак по HTTP, в т. ч. от атак Mantis. В нижней части этого блога вы найдете дополнительные рекомендации, как наилучшим образом защитить свои интернет-ресурсы от DDoS-атак.

Вы знакомы с Mantis?

Мы назвали ботнет, запустивший DDoS-атаку мощностью 26 млн запросов в секунду, Mantis (Богомол), по аналогии с раком-богомолом, который имеет небольшой размер, но при этом обладает большой силой. Раки-богомолы, известные своей способностью откусить человеку палец, очень маленькие. Их длина не превышает 10 см, однако их клешни настолько мощные, что способны создавать ударную волну в 1500 ньютонов на скорости 83 км/ч из неподвижного состояния. Аналогичным образом, ботнет Mantis управляет небольшим «парком» из примерно 5000 ботов, но с их помощью может генерировать огромную мощность, позволяющую осуществлять самые крупные DDoS-атаки по HTTP за все время наблюдений.

Image of the Mantis shrimp from Wikipedia
Рак-богомол. Источник: Wikipedia.

Ботнет Mantis смог провести атаку мощностью 26 млн HTTPS-запросов в секунду, используя всего 5000 ботов. Повторяем: 26 млн HTTPS-запросов в секунду с помощью всего 5000 ботов. Это в среднем 5200 HTTPS-запросов в секунду на одного бота. Сгенерировать 26 млн HTTP-запросов достаточно сложно и без дополнительных затрат ресурсов на установление безопасного соединения, однако Mantis использовал HTTPS. DDoS-атаки по HTTPS обходятся дороже с точки зрения требуемых вычислительных ресурсов за счет более высоких затрат на установление защищенного зашифрованного TLS-соединения. Это подчеркивает необычность и уникальную силу этого ботнета.

Graph of the 26 million requests per second DDoS attack

В отличие от «традиционных» ботнетов, которые формируются на основе устройств Интернета вещей (IoT), таких как видеорегистраторы, камеры видеонаблюдения или детекторы дыма, Mantis использует взломанные виртуальные машины и мощные серверы. Это означает, что каждый бот имеет гораздо больше вычислительных ресурсов, что в совокупности и обеспечивает такую исключительную мощность.

Mantis — результат эволюции ботнета Meris. Ботнет Meris использовал устройства MikroTik, а Mantis расширил свой арсенал за счет целого ряда других платформ виртуальных машин; помимо этого, он позволяет запускать различные HTTP-прокси, которые используются для проведения атак. Название "Mantis" («Богомол») было выбрано по аналогии с "Meris"(«Чума»), чтобы отразить его происхождение, а также потому, что эта новая модификация наносит более мощный и быстрый удар. В последние несколько недель Mantis проявил особую активность, направив всю свою мощь против почти 1000 клиентов Cloudflare.

Graphic design of a botnet

Кого атакует Mantis?

В нашем недавнем отчете о тенденциях DDoS-атак мы отметили рост числа DDoS-атак по HTTP. В прошлом квартале количество таких атак возросло на 72 %, и Mantis, безусловно, способствовал этому росту. За последний месяц Mantis осуществил более 3000 DDoS-атак по HTTP против клиентов Cloudflare.

Анализируя мишени атак Mantis, мы видим, что отрасль, наиболее подвергшаяся атакам — Интернет и телекоммуникации, на нее пришлось 36 % атак. На втором месте — новости, СМИ и издательское дело, затем следуют игровая индустрия и финансы.

Анализируя местоположение этих компаний, мы видим, что более 20 % DDoS-атак были направлены на компании в США, более 15 % — на компании в России, и менее пяти процентов включали Турцию, Францию, Польшу, Украину и другие страны.

Как защититься от Mantis и других DDoS-атак

Автоматизированная система DDoS-защиты Cloudflare использует для обнаружения и нейтрализации DDoS-атак метод динамического формирования цифровых отпечатков. Система доступна клиентам в виде набора правил HTTP DDoS Managed. Набор правил по умолчанию активирован и выполняет действия по нейтрализации атак. Соответственно, если вы не вносили каких-либо изменений, вам не нужно предпринимать никаких действий, вы защищены. Кроме того, вы можете ознакомиться с нашими руководствами Рекомендации: меры по предотвращению DDoS-атак и Реагирование на DDoS-атаки, которые содержат дополнительные советы и рекомендации относительно оптимизации ваших конфигураций Cloudflare.

Если вы используете только Magic Transit или Spectrum, но у вас также имеются HTTP-приложения, которые не находятся под защитой Cloudflare, рекомендуем подключить их к сервису Cloudflare WAF/CDN, чтобы воспользоваться защитой уровня L7.

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.
Botnet (RU)DDoS (RU)Trends (RU)Pусский

Follow on X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Related posts

July 07, 2022 12:57 PM

Новые аналитические данные в WAF

В Cloudflare WAF теперь доступен более широкий спектр аналитической информации об угрозах: мы добавили четыре новых управляемых списка IP-адресов, которые можно использовать при настройке любого пользовательского правила межсетевого экрана...

June 14, 2022 12:56 PM

Cloudflare нейтрализовала DDoS-атаку мощностью 26 млн запросов в секунду

На прошлой неделе Cloudflare автоматически обнаружила и нейтрализовала DDoS-атаку мощностью 26 млн запросов в секунду — самую крупную DDoS-атаку по HTTPS за все время наблюдений...