Подпишитесь, чтобы получать уведомления о новых публикациях:

Cloudflare нейтрализовала DDoS-атаку мощностью 26 млн запросов в секунду

2022-06-14

3 мин. чтения
Другие языки, на которых доступна эта публикация: English, 繁體中文, Français, Deutsch, Italiano, 日本語, 한국어, Português, Español, Polski и 简体中文.

Обновление от 24 июня 2022 года: Мы назвали ботнет, осуществивший DDoS-атаку мощностью 26 млн запросов в секунду, Mantis (Богомол), поскольку он имеет сходство с раком-богомолом: он невелик по размеру, но обладает очень большой силой. Mantis проявил особенную активность на прошлой неделе, осуществив DDoS-атаки по HTTP, нацеленные на интернет-ресурсы в сфере VoIP и криптовалют, мощностью 9 млн запросов в секунду.

На прошлой неделе Cloudflare автоматически обнаружила и нейтрализовала DDoS-атаку мощностью 26 млн запросов в секунду — самую крупную DDoS-атаку по HTTPS за все время наблюдений.

Мишенью атаки стал один из клиентов Cloudflare, использующий план Free. Как и при прошлой атаке мощностью 15 млн запросов в секунду, источниками трафика в основном служили поставщики облачных сервисов, а не домашние интернет-провайдеры, что указывает на использование для проведения атаки взломанных виртуальных машин и мощных серверов, а не гораздо менее производительных устройств Интернета вещей (IoT).

Атаки бьют рекорды

Graph of the 26 million request per second DDoS attack

В течение прошедшего года мы регистрировали одну за другой рекордные атаки. В августе 2021 года мы сообщили о DDoS-атаке по HTTP мощностью 17,2 млн запросов/сек., а в апреле имела место DDoS-атака по HTTPS мощностью 15 млн запросов/сек. Все они были автоматически обнаружены и нейтрализованы с помощью нашего набора правил HTTP DDoS Managed, в основе которого лежит наша автономная периферийная система DDoS-защиты.

DDoS-атака мощностью 26 млн запросов/сек. была осуществлена небольшим, но мощным ботнетом, насчитывающим 5067 устройств. На пике каждый узел генерировал в среднем 5200 запросов/сек. Для сравнения, другой, гораздо более крупный, но менее мощный ботнет, который мы отслеживаем, насчитывает более 730 000 устройств. Однако этот более крупный ботнет генерирует не более 1 млн запросов/сек., т. е. в среднем примерно 1,3 запроса/сек. на устройство. Другими словами, этот ботнет в среднем в 4000 раз мощнее за счет использования виртуальных машин и серверов.

Также следует заметить, что данная атака производилась по HTTPS. DDoS-атаки по HTTPS более затратны с точки зрения вычислительных ресурсов, поскольку требуется установить защищенное соединение с TLS-шифрованием. Поэтому для злоумышленника осуществление такой атаки затратнее, так же как и для жертвы затратнее ее нейтрализация. В прошлом мы не раз наблюдали очень мощные атаки по HTTP (без шифрования), однако данная атака особо выделяется своей ресурсозатратностью с учетом ее масштаба.

Менее чем за 30 секунд данный ботнет сгенерировал более 212 млн HTTPS-запросов из более чем 1500 сетей в 121 стране. Основные страны-источники — Индонезия, США, Бразилия и Россия. Примерно 3 % трафика атаки поступило с узлов Tor.

Основные сети-источники: OVH во Франции (ASN 16276), Telkomnet в Индонезии (ASN 7713), iboss в США (ASN 137922) и Ajeel в Ливии (ASN 37284).

Chart of the top source countries of the attack

Ландшафт угроз в сфере DDoS

Chart of the top source networks of the attack

Планируя DDoS-защиту, важно иметь представление о ландшафте угроз. Если заглянуть в наш отчет о тенденциях в сфере DDoS, можно увидеть, что большинство атак маломощные, т.е. это кибервандализм. Однако даже небольшие атаки могут серьезно повлиять на работу незащищенных интернет-ресурсов. С другой стороны, растет мощность и частота крупных атак, но они — короткие и быстрые. Злоумышленники концентрируют мощность своего ботнета, стремясь причинить ущерб одним коротким нокаутирующим ударом — и при этом избежать обнаружения.

DDoS-атаки инициируют люди, однако генерируют их машины. К тому времени, когда люди отреагируют на атаку, она может уже закончиться. При этом, даже если атака была короткой, перебои в работе сети и приложений могут продолжаться долгое время после окончания атаки, нанося финансовый и репутационный ущерб. Поэтому для защиты интернет-ресурсов рекомендуется использовать автоматическую, постоянно включенную систему защиты, которая способна обнаруживать и нейтрализовывать атаки без участия человека.

Наш вклад в дальнейшее развитие и совершенствование Интернета

В Cloudflare все, что мы делаем, подчинено нашей основной миссии — способствовать развитию и совершенствованию Интернета. Задачи отдела DDoS-защиты также определяются этой миссией: наша цель — лишить DDoS-атаки возможности причинять ущерб. Мы обеспечиваем неограниченную защиту без тарификации трафика: она не ограничена мощностью атак, их числом, количеством и продолжительностью. Сейчас это особенно важно, поскольку, как мы видим в последнее время, и мощность, и частота атак растут.

Еще не используете Cloudflare? Начните сейчас, воспользовавшись нашими планами Free и Pro для защиты веб-сайтов или свяжитесь с нами, если вам необходима комплексная DDoS-защита всей вашей сети с помощью Magic Transit.

Мы защищаем целые корпоративные сети, помогаем клиентам эффективно создавать интернет-приложения в глобальном масштабе, ускорять любые веб-сайты или интернет-приложения, отражать DDoS-атаки, не допускать действий хакеров, и можем оказать поддержку на вашем пути к Zero Trust.

Посетите 1.1.1.1 с любого устройства, чтобы начать работу с нашим бесплатным приложением, благодаря которому ваша интернет-навигация станет еще быстрее и безопаснее.

Чтобы узнать больше о нашей миссии, которая состоит в том, чтобы способствовать развитию и совершенствованию Интернета, начните здесь. Если вы ищете новое направление для развития своей карьеры, ознакомьтесь с нашими открытыми позициями.
DDoSBotnetAttacksБезопасность

Подписаться на X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Связанные публикации

20 ноября 2024 г. в 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...

06 ноября 2024 г. в 08:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....