Подпишитесь, чтобы получать уведомления о новых публикациях:

Новые тенденции развертывания DDoS-атак сетевого уровня во 2-ом квартале 2020 года

2020-08-05

7 мин. чтения
Другие языки, на которых доступна эта публикация: English, 繁體中文, Français, Deutsch, Italiano, 日本語, 한국어, Español и 简体中文.

В первом квартале 2020 года наш образ жизни изменился за считанные недели. Мы стали полагаться на онлайн-сервисы больше, чем когда-либо. Сотрудники, которые могут работать из дома, учащиеся всех возрастов и классов проходят уроки в Интернете, и мы изменили определение того, что значит оставаться на связи. Чем больше общественность зависит от того, чтобы оставаться на связи, тем больше потенциальная награда для злоумышленников, которые могут вызвать хаос и нарушить наш образ жизни. Поэтому неудивительно, что в первом квартале 2020 года (с 1 января 2020 года по 31 марта 2020 года) мы сообщили об увеличении количества атак - особенно после того, как различные правительственные органы распорядились находиться на самоизоляции во второй половине марта.

Во втором квартале 2020 года (с 1 апреля 2020 года по 30 июня 2020 года) эта тенденция увеличения количества DDoS-атак продолжилась и даже  ускорилась:

  • Количество DDoS-атак L3/4, наблюдаемых в нашей сети во втором квартале, удвоилось по сравнению с первыми тремя месяцами года.

  • Масштаб крупнейших DDoS-атак L3 / 4 значительно увеличился. Фактически, мы наблюдали одни из самых крупных атак, когда-либо зарегистрированных в нашей сети.

  • Мы наблюдали большее количество развернутых векторов атак, и атаки были более географически распределены.

Количество глобальных DDoS-атак L3/4 во втором квартале увеличилось вдвое

Gatebot - это основная система защиты Cloudflare от DDoS-атак. Он автоматически обнаруживает и нейтрализует глобально распределенные DDoS-атаки. Глобальная DDoS-атака - это атака, которую мы наблюдаем более чем в одном из наших периферийных центров обработки данных. Эти атаки обычно создаются изощренными злоумышленниками, использующими бот-сети в диапазоне от десятков тысяч до миллионов ботов.

РАСПРЕДЕЛЕНИЕ DDOS-АТАК L3/3 В ПЕРВОЙ ПОЛОВИНЕ 2020 ГОДА

Изощренные злоумышленники обеспечивали Gatebot работой во втором квартале. Общее количество глобальных DDoS-атак L3/4, которые Gatebot обнаружил и отразил во втором квартале, удвоилось по сравнению с предыдущим кварталом. В нашем отчете о DDoS-атаках за первый квартал мы сообщили  о всплеске количества и масштабов атак. Мы по-прежнему наблюдаем ускорение этой тенденции во втором квартале; более 66% всех глобальных DDoS-атак в 2020 году произошло во втором квартале (почти 100% рост). Май был самым загруженным месяцем в первой половине 2020 года, за ним следовали июнь и апрель. Почти треть всех DDoS-атак L3/4 произошла в мае.

63% DDoS-атак L3/4 во втором квартале, пик которых превысил 100 Гбит/с, произошло в мае. Поскольку в мае глобальная пандемия продолжала нарастать во всем мире, злоумышленники особенно стремились уничтожить веб-сайты и другие ресурсы Интернета.

РАСПРЕДЕЛЕНИЕ DDOS-АТАК L3/4 В 1 ПОЛОВИНЕ 2020 Г.

Маленькие атаки продолжают преобладать по количеству, поскольку большие атаки становятся больше в размере

Сила DDoS-атаки эквивалентна ее размеру - фактическому количеству пакетов или битов, наводняющих ссылку, чтобы обойти цель. «Крупная» DDoS-атака - это атака, которая достигает   пика при высокой скорости интернет-трафика. Скорость может быть измерена в пакетах или битах.

Атаки с высокой скоростью передачи данных пытаются перегрузить интернет-соединение, а атаки с высокой скоростью передачи пакетов пытаются перегрузить маршрутизаторы или другие встроенные аппаратные устройства.

Как и в первом квартале, большинство DDoS-атак уровня L3/4, которые мы наблюдали во втором квартале, также были относительно «небольшими» по сравнению с масштабом сети Cloudflare.

Примерно у 90% всех DDoS-атак L3/4 пик был ниже 10 Гбит / с. Небольшие атаки с максимальной скоростью ниже 10 Гбит / с могут легко вызвать отключение большинства веб-сайтов и интернет- ресурсов по всему миру, если они не защищены облачной службой предотвращения DDoS-атак.

РАСПРЕДЕЛЕНИЕ DDOS-АТАК L3/4 ПО СКОРОСТИ ПЕРЕДАЧИ ДАННЫХ

Точно так же, с точки зрения скорости передачи пакетов, 76% всех DDoS-атак L3/4 во втором квартале достигли пика до 1 миллиона пакетов в секунду (pps). Как правило, интерфейс Ethernet со скоростью   1 Гбит / с может передавать от 80 до 1,5 млн пакетов в секунду. Если предположить, что  интерфейс также обслуживает легитимный трафик и что у большинства организаций интерфейс намного меньше 1 Гбит / с, вы можете увидеть, как даже эти DDoS-атаки с «небольшой» скоростью пакетов могут легко разрушить свойства Интернета.

РАСПРЕДЕЛЕНИЕ DDOS-АТАК L3/4 ПО СКОРОСТИ ПЕРЕДАЧИ ПАКЕТОВ (В ПАКЕТАХ В СЕКУНДУ)

Что касается продолжительности, 83% всех атак длились от 30 до 60 минут. Мы наблюдали аналогичную тенденцию в первом квартале, когда 79% атак приходились на тот же диапазон длительности. Это может показаться недолгим, но представьте это как кибер-битву от 30 до 60    минут между вашей командой безопасности и злоумышленниками. Теперь это не кажется таким коротким. Кроме того, если DDoS-атака вызывает сбой или ухудшение качества обслуживания, время восстановления для перезагрузки ваших устройств и перезапуска ваших сервисов может быть намного больше; каждую минуту вы теряете доход и репутацию.

ПРОДОЛЖИТЕЛЬНОСТЬ DDOS-АТАКИ L3/4

Во втором квартале мы наблюдали самые крупные DDoS-атаки на нашу сеть за всю историю

В этом квартале мы стали свидетелями увеличения количества крупномасштабных; как с точки зрения скорости передачи пакетов, так и скорости передачи данных. Фактически, 88% всех DDoS-атак в 2020 году с пиком выше 100 Гбит/с были запущены после того, как в марте вступила в силу самоизоляция.

И снова май был не только самым загруженным месяцем с наибольшим количеством атак, но и с наибольшим количеством крупных атак со скоростью более 100  Гбит/с.

РАСПРЕДЕЛЕНИЕ DDOS-АТАК L3/4 БОЛЕЕ 100 ГБИТ/С ПО МЕСЯЦАМ

С точки зрения пакетов, июнь стал лидером с самой масштабной атакой на 754 миллиона пакетов в секунду. Помимо этой атаки, максимальная скорость пакетов оставалась в основном постоянной на протяжении всего квартала и составляла около 200 миллионов пакетов в секунду.

САМАЯ КРУПНАЯ DDOS-АТАКА L3 / 4 ПО МЕСЯЦАМ ЗА 1 ПОЛОВИНУ 2020 ГОДА (МИЛЛИОН ПАКЕТОВ В СЕКУНДУ)

Атака со скоростью 754 миллиона пакетов в секунду была автоматически обнаружена и нейтрализована Cloudflare. Атака была частью организованной четырехдневной кампании, которая длилась с 18 по 21 июня. В рамках кампании трафик атак с более чем 316 000 IP-адресов был нацелен на один IP-адрес Cloudflare.

Системы защиты Cloudflare от DDoS-атак автоматически обнаружили и предотвратили атаку, и из-за размера и глобального покрытия нашей сети это не повлияло на производительность. Глобальная взаимосвязанная сеть имеет решающее значение при отражении крупных атак, чтобы иметь возможность поглощать трафик атаки и смягчать его вблизи источника, при этом продолжая обслуживать законный клиентский трафик, не вызывая задержек или прерываний обслуживания.

США подвергаются наибольшему количеству атак

Когда мы смотрим на распределение DDoS-атак L3/4 по странам, наши центры обработки данныхв США получили наибольшее количество атак (22,6%), за ними следуют Германия (4,4%), Канада (2,7%) и Великобритания ( 2,6%).

КРУПНЕЙШАЯ DDOS-АТАКА L3/4 ПО СТРАНАМ (ТОП-10)

Когда мы смотрим на общее количество байтов атак, смягчаемых каждым центром обработки данных Cloudflare, США по-прежнему лидируют (34,9%), за ними следуют Гонконг (6,6%), Россия (6,5%), Германия (4,5%) и Колумбия (3,7%). ). Причина этого изменения связана с общим объемом полосы пропускания, генерируемой при каждой атаке. Например, хотя Гонконг не попал в первую десятку из-за относительно небольшого количества атак, наблюдавшихся в Гонконге (1,8%), атаки были очень объемными и генерировали такой большой трафик атак, что подтолкнул Гонконг к 2  месту.

При анализе DDoS-атак L3/4 мы группируем трафик по местоположениям периферийных центров обработки данных Cloudflare, а не по местоположению исходного IP-адреса. Причина в том, что когда злоумышленники запускают атаки L3/4, они могут «подделать» (изменить) исходный IP-адрес, чтобы скрыть источник атаки. Если бы искали страну на основе поддельного исходящего IP-адреса, мы бы получили поддельную страну. Cloudflare может решить проблему подделки IP-адресов, отображая данные об атаке по местоположению центра обработки данных Cloudflare, в котором наблюдалась атака. Мы можем добиться географической точности в нашем отчете, потому что у нас есть центры обработки данных в более чем 200 городах по всему миру.

57% всех DDoS-атак L3/4 во втором квартале были атаками SYN-флуд

Вектор атаки - это термин, используемый для описания метода атаки. Во втором квартале мы зафиксировали увеличение количества векторов, используемых злоумышленниками в DDoS-атаках  L3/4. Во втором квартале было использовано 39 различных типов векторов атак по сравнению с 34 в первом квартале. SYN-флуды составили большинство с долей более 57%, за ними следовали атаки RST (13%), UDP(7%), CLDAP(6%) и SSDP (3%).

РАСПРЕДЕЛЕНИЕ ВЕКТОРОВ DDOS-АТАКИ L3/4

Атаки SYN-флуд направлены на использование процесса установления связи TCP-соединения. Повторно отправляя пакеты первоначального запроса на соединение с флагом синхронизации (SYN), злоумышленник пытается перегрузить таблицу соединений маршрутизатора, которая отслеживает  состояние  соединений  TCP.  Маршрутизатор  отвечает  пакетом,  который  содержит флаг синхронизированного подтверждения (SYN-ACK), выделяет определенный объем памяти для каждого данного соединения и тщетно ждет, пока клиент ответит окончательным подтверждением(ACK). Когда слишком много SYN, которые занимают память маршрутизатора, он не может выделить дополнительную память для настоящих клиентов, что приводит к отказу в обслуживании.

Независимо от вектора атаки, Cloudflare автоматически обнаруживает и смягчает DDoS-атаки с отслеживанием состояния или без отслеживания состояния, используя наш трехуровневый подход к защите, включающий наши собственные системы защиты от DDoS-атак:

  1. Gatebot - централизованные системы защиты от DDoS-атак Cloudflare для обнаружения и предотвращения глобально распределенных объемных DDoS-атак. Gatebot работает в основном центре обработки данных нашей сети. Система получает образцы из каждого из наших периферийных центров обработки данных, анализирует их и автоматически отправляет инструкции по устранению последствий при обнаружении атак. Gatebot также синхронизируется с каждымиз веб-серверов наших клиентов, чтобы определять его работоспособность и соответственно запускать индивидуальную защиту.

  2. dosd (отказ демона в обслуживании) - децентрализованные системы защиты от DDoS-атак Cloudflare. dosd автономно работает на каждом сервере в каждом центре обработки данных Cloudflare по  всему миру, анализирует трафик и при необходимости применяет локальные правила устранения.Помимо возможности обнаруживать и устранять атаки на сверхвысокой скорости, dosd значительно повышает устойчивость нашей сети, делегируя функции обнаружения и устранения на периферию.

  3. flowtrackd (демон отслеживания потока) - машина отслеживания состояния TCP Cloudflare дляобнаружения и устранения наиболее рандомных и сложных DDoS-атак на основе TCP в топологиях однонаправленной маршрутизации. flowtrackd может определять состояние TCP-соединения,а затем отбрасывать, проверять или ограничивать скорость пакетов, которые не принадлежат легитимному соединению.

В дополнение к нашим автоматизированным системам защиты от DDoS-атак, Cloudflare также генерирует аналитические данные об угрозах в реальном времени, которые автоматически предотвращают атаки. Кроме того, Cloudflare предоставляет своим клиентам защитный экран, ограничение скорости и дополнительные инструменты для дальнейшей настройки и оптимизации их защиты.

Предотвращение DDoS-атак Cloudflare

Поскольку использование Интернета для предприятий и частных лиц продолжает развиваться, следует ожидать, что тактика DDoS также будет адаптироваться. Cloudflare защищает веб-сайты, приложения и целые сети от DDoS-атак любого размера, вида и уровня сложности.

Наши клиенты и отраслевые аналитики рекомендуют наше комплексное решение по трем основным причинам:

  • Масштаб сети: Сеть Cloudflare 37 Тбит/с может легко блокировать атаки любого размера, вида и уровня сложности. Сеть Cloudflare имеет более высокую способность противодействовать DDoS- атакам, чем у следующих четырех конкурентов вместе взятых.

  • Время предотвращения: Cloudflare предотвращает большинство атак на сетевом уровне менее чем за 10 секунд в глобальном масштабе и предотвращает мгновенно (0 секунд), если предварительно настроены статические правила. Благодаря нашему глобальному присутствию Cloudflare предотвращает атаки вблизи источника с минимальной задержкой. В некоторых случаях трафик даже быстрее, чем через общедоступный Интернет.

  • Анализ угроз: Защита от DDoS-атак Cloudflare основана на данных об угрозах, собранных с более чем 27 миллионов интернет-ресурсов. Кроме того, анализ угроз встроен в брандмауэры и инструменты для клиентов, чтобы расширить возможности наших клиентов.

Cloudflare обладает уникальными возможностями для защиты от DDoS-атак с беспрецедентным масштабом, скоростью и интеллектом, благодаря архитектуре нашей сети. Сеть Cloudflare похожа на фрактал: каждая служба работает на каждом сервере в каждом центре обработки данных Cloudflare, который охватывает более 200 городов по всему миру. Это позволяет Cloudflare обнаруживать и предотвращать атаки вблизи источника, независимо от размера, источника или вида атаки.

Чтобы узнать больше о решении Cloudflare в отношении DDoS, свяжитесь с нами или начните  работу.

Вы также можете присоединиться к предстоящему вебинару в режиме реального времени, на котором мы будем обсуждать эти тенденции и стратегии, которые предприятия могут реализовать для борьбы с DDoS-атаками и поддержания своих сетей быстрыми и в сети. Вы можете зарегистрироваться здесь.

Мы защищаем целые корпоративные сети, помогаем клиентам эффективно создавать интернет-приложения в глобальном масштабе, ускорять любые веб-сайты или интернет-приложения, отражать DDoS-атаки, не допускать действий хакеров, и можем оказать поддержку на вашем пути к Zero Trust.

Посетите 1.1.1.1 с любого устройства, чтобы начать работу с нашим бесплатным приложением, благодаря которому ваша интернет-навигация станет еще быстрее и безопаснее.

Чтобы узнать больше о нашей миссии, которая состоит в том, чтобы способствовать развитию и совершенствованию Интернета, начните здесь. Если вы ищете новое направление для развития своей карьеры, ознакомьтесь с нашими открытыми позициями.
DDoSTrendsCOVID-19БезопасностьDDoS Reports

Подписаться на X

Vivek Ganti|@VivekGanti
Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Связанные публикации

20 ноября 2024 г. в 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...

06 ноября 2024 г. в 08:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....