Подпишитесь, чтобы получать уведомления о новых публикациях:

Mantis — самый мощный ботнет за все время наблюдений

2022-07-14

3 мин. чтения
Другие языки, на которых доступна эта публикация: English, 繁體中文, Español, Polski и 简体中文.

В июне 2022 года мы сообщили о крупнейшей DDoS-атаке по HTTPS, которую нам удалось нейтрализовать — кибератаке мощностью 26 миллионов запросов в секунду, самой крупной за все время наблюдений. Наши системы автоматически обнаружили и нейтрализовали ее, как и многие другие DDoS-атаки. С тех пор мы отслеживаем этот ботнет (мы назвали его Mantis), а также осуществляемые с его помощью атаки, направленные против почти тысячи клиентов Cloudflare.

Mantis - the most powerful botnet to date

Клиенты Cloudflare WAF/CDN защищены от DDoS-атак по HTTP, в т. ч. от атак Mantis. В нижней части этого блога вы найдете дополнительные рекомендации, как наилучшим образом защитить свои интернет-ресурсы от DDoS-атак.

Вы знакомы с Mantis?

Мы назвали ботнет, запустивший DDoS-атаку мощностью 26 млн запросов в секунду, Mantis (Богомол), по аналогии с раком-богомолом, который имеет небольшой размер, но при этом обладает большой силой. Раки-богомолы, известные своей способностью откусить человеку палец, очень маленькие. Их длина не превышает 10 см, однако их клешни настолько мощные, что способны создавать ударную волну в 1500 ньютонов на скорости 83 км/ч из неподвижного состояния. Аналогичным образом, ботнет Mantis управляет небольшим «парком» из примерно 5000 ботов, но с их помощью может генерировать огромную мощность, позволяющую осуществлять самые крупные DDoS-атаки по HTTP за все время наблюдений.

Рак-богомол. Источник: Wikipedia.

Image of the Mantis shrimp from Wikipedia

Ботнет Mantis смог провести атаку мощностью 26 млн HTTPS-запросов в секунду, используя всего 5000 ботов. Повторяем: 26 млн HTTPS-запросов в секунду с помощью всего 5000 ботов. Это в среднем 5200 HTTPS-запросов в секунду на одного бота. Сгенерировать 26 млн HTTP-запросов достаточно сложно и без дополнительных затрат ресурсов на установление безопасного соединения, однако Mantis использовал HTTPS. DDoS-атаки по HTTPS обходятся дороже с точки зрения требуемых вычислительных ресурсов за счет более высоких затрат на установление защищенного зашифрованного TLS-соединения. Это подчеркивает необычность и уникальную силу этого ботнета.

В отличие от «традиционных» ботнетов, которые формируются на основе устройств Интернета вещей (IoT), таких как видеорегистраторы, камеры видеонаблюдения или детекторы дыма, Mantis использует взломанные виртуальные машины и мощные серверы. Это означает, что каждый бот имеет гораздо больше вычислительных ресурсов, что в совокупности и обеспечивает такую исключительную мощность.

Graph of the 26 million requests per second DDoS attack

Mantis — результат эволюции ботнета Meris. Ботнет Meris использовал устройства MikroTik, а Mantis расширил свой арсенал за счет целого ряда других платформ виртуальных машин; помимо этого, он позволяет запускать различные HTTP-прокси, которые используются для проведения атак. Название "Mantis" («Богомол») было выбрано по аналогии с "Meris"(«Чума»), чтобы отразить его происхождение, а также потому, что эта новая модификация наносит более мощный и быстрый удар. В последние несколько недель Mantis проявил особую активность, направив всю свою мощь против почти 1000 клиентов Cloudflare.

Кого атакует Mantis?

Graphic design of a botnet

В нашем недавнем отчете о тенденциях DDoS-атак мы отметили рост числа DDoS-атак по HTTP. В прошлом квартале количество таких атак возросло на 72 %, и Mantis, безусловно, способствовал этому росту. За последний месяц Mantis осуществил более 3000 DDoS-атак по HTTP против клиентов Cloudflare.

Анализируя мишени атак Mantis, мы видим, что отрасль, наиболее подвергшаяся атакам — Интернет и телекоммуникации, на нее пришлось 36 % атак. На втором месте — новости, СМИ и издательское дело, затем следуют игровая индустрия и финансы.

Анализируя местоположение этих компаний, мы видим, что более 20 % DDoS-атак были направлены на компании в США, более 15 % — на компании в России, и менее пяти процентов включали Турцию, Францию, Польшу, Украину и другие страны.

Как защититься от Mantis и других DDoS-атак

Автоматизированная система DDoS-защиты Cloudflare использует для обнаружения и нейтрализации DDoS-атак метод динамического формирования цифровых отпечатков. Система доступна клиентам в виде набора правил HTTP DDoS Managed. Набор правил по умолчанию активирован и выполняет действия по нейтрализации атак. Соответственно, если вы не вносили каких-либо изменений, вам не нужно предпринимать никаких действий, вы защищены. Кроме того, вы можете ознакомиться с нашими руководствами Рекомендации: меры по предотвращению DDoS-атак и Реагирование на DDoS-атаки, которые содержат дополнительные советы и рекомендации относительно оптимизации ваших конфигураций Cloudflare.

Если вы используете только Magic Transit или Spectrum, но у вас также имеются HTTP-приложения, которые не находятся под защитой Cloudflare, рекомендуем подключить их к сервису Cloudflare WAF/CDN, чтобы воспользоваться защитой уровня L7.

Мы защищаем целые корпоративные сети, помогаем клиентам эффективно создавать интернет-приложения в глобальном масштабе, ускорять любые веб-сайты или интернет-приложения, отражать DDoS-атаки, не допускать действий хакеров, и можем оказать поддержку на вашем пути к Zero Trust.

Посетите 1.1.1.1 с любого устройства, чтобы начать работу с нашим бесплатным приложением, благодаря которому ваша интернет-навигация станет еще быстрее и безопаснее.

Чтобы узнать больше о нашей миссии, которая состоит в том, чтобы способствовать развитию и совершенствованию Интернета, начните здесь. Если вы ищете новое направление для развития своей карьеры, ознакомьтесь с нашими открытыми позициями.
BotnetDDoSTrends

Подписаться на X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Связанные публикации

20 ноября 2024 г. в 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...

06 ноября 2024 г. в 08:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....