Cloudflare нейтрализовала DDoS-атаку мощностью 26 млн запросов в секунду

Обновление от 24 июня 2022 года: Мы назвали ботнет, осуществивший DDoS-атаку мощностью 26 млн запросов в секунду, Mantis (Богомол), поскольку он имеет сходство с раком-богомолом: он невелик по размеру, но обладает очень большой силой. Mantis проявил особенную активность на прошлой неделе, осуществив DDoS-атаки по HTTP, нацеленные на интернет-ресурсы в сфере VoIP и криптовалют, мощностью 9 млн запросов в секунду.

На прошлой неделе Cloudflare автоматически обнаружила и нейтрализовала DDoS-атаку мощностью 26 млн запросов в секунду — самую крупную DDoS-атаку по HTTPS за все время наблюдений.

Мишенью атаки стал один из клиентов Cloudflare, использующий план Free. Как и при прошлой атаке мощностью 15 млн запросов в секунду, источниками трафика в основном служили поставщики облачных сервисов, а не домашние интернет-провайдеры, что указывает на использование для проведения атаки взломанных виртуальных машин и мощных серверов, а не гораздо менее производительных устройств Интернета вещей (IoT).

В течение прошедшего года мы регистрировали одну за другой рекордные атаки. В августе 2021 года мы сообщили о DDoS-атаке по HTTP мощностью 17,2 млн запросов/сек., а в апреле имела место DDoS-атака по HTTPS мощностью 15 млн запросов/сек. Все они были автоматически обнаружены и нейтрализованы с помощью нашего набора правил HTTP DDoS Managed, в основе которого лежит наша автономная периферийная система DDoS-защиты.

DDoS-атака мощностью 26 млн запросов/сек. была осуществлена небольшим, но мощным ботнетом, насчитывающим 5067 устройств. На пике каждый узел генерировал в среднем 5200 запросов/сек. Для сравнения, другой, гораздо более крупный, но менее мощный ботнет, который мы отслеживаем, насчитывает более 730 000 устройств. Однако этот более крупный ботнет генерирует не более 1 млн запросов/сек., т. е. в среднем примерно 1,3 запроса/сек. на устройство. Другими словами, этот ботнет в среднем в 4000 раз мощнее за счет использования виртуальных машин и серверов.

Также следует заметить, что данная атака производилась по HTTPS. DDoS-атаки по HTTPS более затратны с точки зрения вычислительных ресурсов, поскольку требуется установить защищенное соединение с TLS-шифрованием. Поэтому для злоумышленника осуществление такой атаки затратнее, так же как и для жертвы затратнее ее нейтрализация. В прошлом мы не раз наблюдали очень мощные атаки по HTTP (без шифрования), однако данная атака особо выделяется своей ресурсозатратностью с учетом ее масштаба.

Менее чем за 30 секунд данный ботнет сгенерировал более 212 млн HTTPS-запросов из более чем 1500 сетей в 121 стране. Основные страны-источники — Индонезия, США, Бразилия и Россия. Примерно 3 % трафика атаки поступило с узлов Tor.

Основные сети-источники: OVH во Франции (ASN 16276), Telkomnet в Индонезии (ASN 7713), iboss в США (ASN 137922) и Ajeel в Ливии (ASN 37284).

Планируя DDoS-защиту, важно иметь представление о ландшафте угроз. Если заглянуть в наш отчет о тенденциях в сфере DDoS, можно увидеть, что большинство атак маломощные, т.е. это кибервандализм. Однако даже небольшие атаки могут серьезно повлиять на работу незащищенных интернет-ресурсов. С другой стороны, растет мощность и частота крупных атак, но они — короткие и быстрые. Злоумышленники концентрируют мощность своего ботнета, стремясь причинить ущерб одним коротким нокаутирующим ударом — и при этом избежать обнаружения.

DDoS-атаки инициируют люди, однако генерируют их машины. К тому времени, когда люди отреагируют на атаку, она может уже закончиться. При этом, даже если атака была короткой, перебои в работе сети и приложений могут продолжаться долгое время после окончания атаки, нанося финансовый и репутационный ущерб. Поэтому для защиты интернет-ресурсов рекомендуется использовать автоматическую, постоянно включенную систему защиты, которая способна обнаруживать и нейтрализовывать атаки без участия человека.

В Cloudflare все, что мы делаем, подчинено нашей основной миссии — способствовать развитию и совершенствованию Интернета. Задачи отдела DDoS-защиты также определяются этой миссией: наша цель — лишить DDoS-атаки возможности причинять ущерб. Мы обеспечиваем неограниченную защиту без тарификации трафика: она не ограничена мощностью атак, их числом, количеством и продолжительностью. Сейчас это особенно важно, поскольку, как мы видим в последнее время, и мощность, и частота атак растут.

Еще не используете Cloudflare? Начните сейчас, воспользовавшись нашими планами Free и Pro для защиты веб-сайтов или свяжитесь с нами, если вам необходима комплексная DDoS-защита всей вашей сети с помощью Magic Transit.