Subscribe to receive notifications of new posts:

Subscription confirmed. Thank you for subscribing!

Mantis — самый мощный ботнет за все время наблюдений

Loading...

3 min read
Mantis - the most powerful botnet to date

В июне 2022 года мы сообщили о крупнейшей DDoS-атаке по HTTPS, которую нам удалось нейтрализовать — кибератаке мощностью 26 миллионов запросов в секунду, самой крупной за все время наблюдений. Наши системы автоматически обнаружили и нейтрализовали ее, как и многие другие DDoS-атаки. С тех пор мы отслеживаем этот ботнет (мы назвали его Mantis), а также осуществляемые с его помощью атаки, направленные против почти тысячи клиентов Cloudflare.

Клиенты Cloudflare WAF/CDN защищены от DDoS-атак по HTTP, в т. ч. от атак Mantis. В нижней части этого блога вы найдете дополнительные рекомендации, как наилучшим образом защитить свои интернет-ресурсы от DDoS-атак.

Вы знакомы с Mantis?

Мы назвали ботнет, запустивший DDoS-атаку мощностью 26 млн запросов в секунду, Mantis (Богомол), по аналогии с раком-богомолом, который имеет небольшой размер, но при этом обладает большой силой. Раки-богомолы, известные своей способностью откусить человеку палец, очень маленькие. Их длина не превышает 10 см, однако их клешни настолько мощные, что способны создавать ударную волну в 1500 ньютонов на скорости 83 км/ч из неподвижного состояния. Аналогичным образом, ботнет Mantis управляет небольшим «парком» из примерно 5000 ботов, но с их помощью может генерировать огромную мощность, позволяющую осуществлять самые крупные DDoS-атаки по HTTP за все время наблюдений.

Image of the Mantis shrimp from Wikipedia
Рак-богомол. Источник: Wikipedia.

Ботнет Mantis смог провести атаку мощностью 26 млн HTTPS-запросов в секунду, используя всего 5000 ботов. Повторяем: 26 млн HTTPS-запросов в секунду с помощью всего 5000 ботов. Это в среднем 5200 HTTPS-запросов в секунду на одного бота. Сгенерировать 26 млн HTTP-запросов достаточно сложно и без дополнительных затрат ресурсов на установление безопасного соединения, однако Mantis использовал HTTPS. DDoS-атаки по HTTPS обходятся дороже с точки зрения требуемых вычислительных ресурсов за счет более высоких затрат на установление защищенного зашифрованного TLS-соединения. Это подчеркивает необычность и уникальную силу этого ботнета.

Graph of the 26 million requests per second DDoS attack

В отличие от «традиционных» ботнетов, которые формируются на основе устройств Интернета вещей (IoT), таких как видеорегистраторы, камеры видеонаблюдения или детекторы дыма, Mantis использует взломанные виртуальные машины и мощные серверы. Это означает, что каждый бот имеет гораздо больше вычислительных ресурсов, что в совокупности и обеспечивает такую исключительную мощность.

Mantis — результат эволюции ботнета Meris. Ботнет Meris использовал устройства MikroTik, а Mantis расширил свой арсенал за счет целого ряда других платформ виртуальных машин; помимо этого, он позволяет запускать различные HTTP-прокси, которые используются для проведения атак. Название "Mantis" («Богомол») было выбрано по аналогии с "Meris"(«Чума»), чтобы отразить его происхождение, а также потому, что эта новая модификация наносит более мощный и быстрый удар. В последние несколько недель Mantis проявил особую активность, направив всю свою мощь против почти 1000 клиентов Cloudflare.

Graphic design of a botnet

Кого атакует Mantis?

В нашем недавнем отчете о тенденциях DDoS-атак мы отметили рост числа DDoS-атак по HTTP. В прошлом квартале количество таких атак возросло на 72 %, и Mantis, безусловно, способствовал этому росту. За последний месяц Mantis осуществил более 3000 DDoS-атак по HTTP против клиентов Cloudflare.

Анализируя мишени атак Mantis, мы видим, что отрасль, наиболее подвергшаяся атакам — Интернет и телекоммуникации, на нее пришлось 36 % атак. На втором месте — новости, СМИ и издательское дело, затем следуют игровая индустрия и финансы.

Анализируя местоположение этих компаний, мы видим, что более 20 % DDoS-атак были направлены на компании в США, более 15 % — на компании в России, и менее пяти процентов включали Турцию, Францию, Польшу, Украину и другие страны.

Как защититься от Mantis и других DDoS-атак

Автоматизированная система DDoS-защиты Cloudflare использует для обнаружения и нейтрализации DDoS-атак метод динамического формирования цифровых отпечатков. Система доступна клиентам в виде набора правил HTTP DDoS Managed. Набор правил по умолчанию активирован и выполняет действия по нейтрализации атак. Соответственно, если вы не вносили каких-либо изменений, вам не нужно предпринимать никаких действий, вы защищены. Кроме того, вы можете ознакомиться с нашими руководствами Рекомендации: меры по предотвращению DDoS-атак и Реагирование на DDoS-атаки, которые содержат дополнительные советы и рекомендации относительно оптимизации ваших конфигураций Cloudflare.

Если вы используете только Magic Transit или Spectrum, но у вас также имеются HTTP-приложения, которые не находятся под защитой Cloudflare, рекомендуем подключить их к сервису Cloudflare WAF/CDN, чтобы воспользоваться защитой уровня L7.

Мы обеспечиваем комплексную защиту корпоративных сетей, помогаем клиентам эффективно развертывать интернет-приложения в глобальном масштабе, повышаем быстродействие любых веб-сайтов и интернет-приложений, блокируем DDoS-атаки и нейтрализуем хакеров. Мы также можем помочь вам осуществить переход к платформе безопасности Zero Trust.

Зайдите на 1.1.1.1 с любого устройства и воспользуйтесь нашим бесплатным приложением, которое сделает вашу работу в Интернете быстрее и безопаснее.

Подробнее о нашей миссии развития и совершенствования Интернета можно узнать здесь. Если вы ищете новое направление для развития своей карьеры, зайдите на нашу страницу вакансий.

Botnet (RU) DDoS (RU) Trends (RU) Pусский

Follow on X

Omer Yoachimik |@OmerYoahimik
Cloudflare |Cloudflare

Related Posts

July 07, 2022 1:57PM

Новые аналитические данные в WAF

В Cloudflare WAF теперь доступен более широкий спектр аналитической информации об угрозах: мы добавили четыре новых управляемых списка IP-адресов, которые можно использовать при настройке любого пользовательского правила межсетевого экрана...

June 14, 2022 1:56PM

Cloudflare нейтрализовала DDoS-атаку мощностью 26 млн запросов в секунду

На прошлой неделе Cloudflare автоматически обнаружила и нейтрализовала DDoS-атаку мощностью 26 млн запросов в секунду — самую крупную DDoS-атаку по HTTPS за все время наблюдений...