Подпишитесь, чтобы получать уведомления о новых публикациях:

Cloudflare нейтрализовала DDoS-атаку мощностью 26 млн запросов в секунду

2022-06-14

3 мин. чтения
Другие языки, на которых доступна эта публикация: English, 繁體中文, Français, Deutsch, Italiano, 日本語, 한국어, Português, Español, Polski и 简体中文.

Обновление от 24 июня 2022 года: Мы назвали ботнет, осуществивший DDoS-атаку мощностью 26 млн запросов в секунду, Mantis (Богомол), поскольку он имеет сходство с раком-богомолом: он невелик по размеру, но обладает очень большой силой. Mantis проявил особенную активность на прошлой неделе, осуществив DDoS-атаки по HTTP, нацеленные на интернет-ресурсы в сфере VoIP и криптовалют, мощностью 9 млн запросов в секунду.

На прошлой неделе Cloudflare автоматически обнаружила и нейтрализовала DDoS-атаку мощностью 26 млн запросов в секунду — самую крупную DDoS-атаку по HTTPS за все время наблюдений.

Мишенью атаки стал один из клиентов Cloudflare, использующий план Free. Как и при прошлой атаке мощностью 15 млн запросов в секунду, источниками трафика в основном служили поставщики облачных сервисов, а не домашние интернет-провайдеры, что указывает на использование для проведения атаки взломанных виртуальных машин и мощных серверов, а не гораздо менее производительных устройств Интернета вещей (IoT).

Атаки бьют рекорды

Graph of the 26 million request per second DDoS attack

В течение прошедшего года мы регистрировали одну за другой рекордные атаки. В августе 2021 года мы сообщили о DDoS-атаке по HTTP мощностью 17,2 млн запросов/сек., а в апреле имела место DDoS-атака по HTTPS мощностью 15 млн запросов/сек. Все они были автоматически обнаружены и нейтрализованы с помощью нашего набора правил HTTP DDoS Managed, в основе которого лежит наша автономная периферийная система DDoS-защиты.

DDoS-атака мощностью 26 млн запросов/сек. была осуществлена небольшим, но мощным ботнетом, насчитывающим 5067 устройств. На пике каждый узел генерировал в среднем 5200 запросов/сек. Для сравнения, другой, гораздо более крупный, но менее мощный ботнет, который мы отслеживаем, насчитывает более 730 000 устройств. Однако этот более крупный ботнет генерирует не более 1 млн запросов/сек., т. е. в среднем примерно 1,3 запроса/сек. на устройство. Другими словами, этот ботнет в среднем в 4000 раз мощнее за счет использования виртуальных машин и серверов.

Также следует заметить, что данная атака производилась по HTTPS. DDoS-атаки по HTTPS более затратны с точки зрения вычислительных ресурсов, поскольку требуется установить защищенное соединение с TLS-шифрованием. Поэтому для злоумышленника осуществление такой атаки затратнее, так же как и для жертвы затратнее ее нейтрализация. В прошлом мы не раз наблюдали очень мощные атаки по HTTP (без шифрования), однако данная атака особо выделяется своей ресурсозатратностью с учетом ее масштаба.

Менее чем за 30 секунд данный ботнет сгенерировал более 212 млн HTTPS-запросов из более чем 1500 сетей в 121 стране. Основные страны-источники — Индонезия, США, Бразилия и Россия. Примерно 3 % трафика атаки поступило с узлов Tor.

Основные сети-источники: OVH во Франции (ASN 16276), Telkomnet в Индонезии (ASN 7713), iboss в США (ASN 137922) и Ajeel в Ливии (ASN 37284).

Chart of the top source countries of the attack

Ландшафт угроз в сфере DDoS

Chart of the top source networks of the attack

Планируя DDoS-защиту, важно иметь представление о ландшафте угроз. Если заглянуть в наш отчет о тенденциях в сфере DDoS, можно увидеть, что большинство атак маломощные, т.е. это кибервандализм. Однако даже небольшие атаки могут серьезно повлиять на работу незащищенных интернет-ресурсов. С другой стороны, растет мощность и частота крупных атак, но они — короткие и быстрые. Злоумышленники концентрируют мощность своего ботнета, стремясь причинить ущерб одним коротким нокаутирующим ударом — и при этом избежать обнаружения.

DDoS-атаки инициируют люди, однако генерируют их машины. К тому времени, когда люди отреагируют на атаку, она может уже закончиться. При этом, даже если атака была короткой, перебои в работе сети и приложений могут продолжаться долгое время после окончания атаки, нанося финансовый и репутационный ущерб. Поэтому для защиты интернет-ресурсов рекомендуется использовать автоматическую, постоянно включенную систему защиты, которая способна обнаруживать и нейтрализовывать атаки без участия человека.

Наш вклад в дальнейшее развитие и совершенствование Интернета

В Cloudflare все, что мы делаем, подчинено нашей основной миссии — способствовать развитию и совершенствованию Интернета. Задачи отдела DDoS-защиты также определяются этой миссией: наша цель — лишить DDoS-атаки возможности причинять ущерб. Мы обеспечиваем неограниченную защиту без тарификации трафика: она не ограничена мощностью атак, их числом, количеством и продолжительностью. Сейчас это особенно важно, поскольку, как мы видим в последнее время, и мощность, и частота атак растут.

Еще не используете Cloudflare? Начните сейчас, воспользовавшись нашими планами Free и Pro для защиты веб-сайтов или свяжитесь с нами, если вам необходима комплексная DDoS-защита всей вашей сети с помощью Magic Transit.

Мы защищаем целые корпоративные сети, помогаем клиентам эффективно создавать интернет-приложения в глобальном масштабе, ускорять любые веб-сайты или интернет-приложения, отражать DDoS-атаки, не допускать действий хакеров, и можем оказать поддержку на вашем пути к Zero Trust.

Посетите 1.1.1.1 с любого устройства, чтобы начать работу с нашим бесплатным приложением, благодаря которому ваша интернет-навигация станет еще быстрее и безопаснее.

Чтобы узнать больше о нашей миссии, которая состоит в том, чтобы способствовать развитию и совершенствованию Интернета, начните здесь. Если вы ищете новое направление для развития своей карьеры, ознакомьтесь с нашими открытыми позициями.
DDoSBotnetAttacksБезопасность

Подписаться на X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Связанные публикации

20 ноября 2024 г. в 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...