Подпишитесь, чтобы получать уведомления о новых публикациях:

Mantis — самый мощный ботнет за все время наблюдений

2022-07-14

3 мин. чтения
Другие языки, на которых доступна эта публикация: English, 繁體中文, Español, Polski и 简体中文.

В июне 2022 года мы сообщили о крупнейшей DDoS-атаке по HTTPS, которую нам удалось нейтрализовать — кибератаке мощностью 26 миллионов запросов в секунду, самой крупной за все время наблюдений. Наши системы автоматически обнаружили и нейтрализовали ее, как и многие другие DDoS-атаки. С тех пор мы отслеживаем этот ботнет (мы назвали его Mantis), а также осуществляемые с его помощью атаки, направленные против почти тысячи клиентов Cloudflare.

Mantis - the most powerful botnet to date

Клиенты Cloudflare WAF/CDN защищены от DDoS-атак по HTTP, в т. ч. от атак Mantis. В нижней части этого блога вы найдете дополнительные рекомендации, как наилучшим образом защитить свои интернет-ресурсы от DDoS-атак.

Вы знакомы с Mantis?

Мы назвали ботнет, запустивший DDoS-атаку мощностью 26 млн запросов в секунду, Mantis (Богомол), по аналогии с раком-богомолом, который имеет небольшой размер, но при этом обладает большой силой. Раки-богомолы, известные своей способностью откусить человеку палец, очень маленькие. Их длина не превышает 10 см, однако их клешни настолько мощные, что способны создавать ударную волну в 1500 ньютонов на скорости 83 км/ч из неподвижного состояния. Аналогичным образом, ботнет Mantis управляет небольшим «парком» из примерно 5000 ботов, но с их помощью может генерировать огромную мощность, позволяющую осуществлять самые крупные DDoS-атаки по HTTP за все время наблюдений.

Рак-богомол. Источник: Wikipedia.

Image of the Mantis shrimp from Wikipedia

Ботнет Mantis смог провести атаку мощностью 26 млн HTTPS-запросов в секунду, используя всего 5000 ботов. Повторяем: 26 млн HTTPS-запросов в секунду с помощью всего 5000 ботов. Это в среднем 5200 HTTPS-запросов в секунду на одного бота. Сгенерировать 26 млн HTTP-запросов достаточно сложно и без дополнительных затрат ресурсов на установление безопасного соединения, однако Mantis использовал HTTPS. DDoS-атаки по HTTPS обходятся дороже с точки зрения требуемых вычислительных ресурсов за счет более высоких затрат на установление защищенного зашифрованного TLS-соединения. Это подчеркивает необычность и уникальную силу этого ботнета.

В отличие от «традиционных» ботнетов, которые формируются на основе устройств Интернета вещей (IoT), таких как видеорегистраторы, камеры видеонаблюдения или детекторы дыма, Mantis использует взломанные виртуальные машины и мощные серверы. Это означает, что каждый бот имеет гораздо больше вычислительных ресурсов, что в совокупности и обеспечивает такую исключительную мощность.

Graph of the 26 million requests per second DDoS attack

Mantis — результат эволюции ботнета Meris. Ботнет Meris использовал устройства MikroTik, а Mantis расширил свой арсенал за счет целого ряда других платформ виртуальных машин; помимо этого, он позволяет запускать различные HTTP-прокси, которые используются для проведения атак. Название "Mantis" («Богомол») было выбрано по аналогии с "Meris"(«Чума»), чтобы отразить его происхождение, а также потому, что эта новая модификация наносит более мощный и быстрый удар. В последние несколько недель Mantis проявил особую активность, направив всю свою мощь против почти 1000 клиентов Cloudflare.

Кого атакует Mantis?

Graphic design of a botnet

В нашем недавнем отчете о тенденциях DDoS-атак мы отметили рост числа DDoS-атак по HTTP. В прошлом квартале количество таких атак возросло на 72 %, и Mantis, безусловно, способствовал этому росту. За последний месяц Mantis осуществил более 3000 DDoS-атак по HTTP против клиентов Cloudflare.

Анализируя мишени атак Mantis, мы видим, что отрасль, наиболее подвергшаяся атакам — Интернет и телекоммуникации, на нее пришлось 36 % атак. На втором месте — новости, СМИ и издательское дело, затем следуют игровая индустрия и финансы.

Анализируя местоположение этих компаний, мы видим, что более 20 % DDoS-атак были направлены на компании в США, более 15 % — на компании в России, и менее пяти процентов включали Турцию, Францию, Польшу, Украину и другие страны.

Как защититься от Mantis и других DDoS-атак

Автоматизированная система DDoS-защиты Cloudflare использует для обнаружения и нейтрализации DDoS-атак метод динамического формирования цифровых отпечатков. Система доступна клиентам в виде набора правил HTTP DDoS Managed. Набор правил по умолчанию активирован и выполняет действия по нейтрализации атак. Соответственно, если вы не вносили каких-либо изменений, вам не нужно предпринимать никаких действий, вы защищены. Кроме того, вы можете ознакомиться с нашими руководствами Рекомендации: меры по предотвращению DDoS-атак и Реагирование на DDoS-атаки, которые содержат дополнительные советы и рекомендации относительно оптимизации ваших конфигураций Cloudflare.

Если вы используете только Magic Transit или Spectrum, но у вас также имеются HTTP-приложения, которые не находятся под защитой Cloudflare, рекомендуем подключить их к сервису Cloudflare WAF/CDN, чтобы воспользоваться защитой уровня L7.

Мы защищаем целые корпоративные сети, помогаем клиентам эффективно создавать интернет-приложения в глобальном масштабе, ускорять любые веб-сайты или интернет-приложения, отражать DDoS-атаки, не допускать действий хакеров, и можем оказать поддержку на вашем пути к Zero Trust.

Посетите 1.1.1.1 с любого устройства, чтобы начать работу с нашим бесплатным приложением, благодаря которому ваша интернет-навигация станет еще быстрее и безопаснее.

Чтобы узнать больше о нашей миссии, которая состоит в том, чтобы способствовать развитию и совершенствованию Интернета, начните здесь. Если вы ищете новое направление для развития своей карьеры, ознакомьтесь с нашими открытыми позициями.
BotnetDDoSTrends

Подписаться на X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Связанные публикации

20 ноября 2024 г. в 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...