Рекордное количество DDoS-атак зафиксировали в I квартале 2022 года

Атаки на шифрование

Первый квартал этого года оказался беспрецедентным с точки зрения DDoS-активности, напрямую связанной с событиями на Украине. Основными исполнителями кибератак стали хактивисты, которые начали подавлять различные сайты и онлайн-сервисы на фоне кризиса. Обычно это не связанные между собой группы людей, координирующие свои действия через мессенджеры. В первом квартале 2022 года они задействовали для поражения своих целей 901 600 устройств.

В основном среди способов кибернападений использовались атаки уровня приложения (Application Layer, L7). Речь идет о прогонке зашифрованного трафика через интернет-каналы легитимных пользователей. Для очистки потока требуются большие вычислительные мощности, поэтому такие атаки хактивистов сложно находить и фильтровать.

Также в топ вышли атаки на шифрованный трафик TLS handshake. Это этап установки HTTPS-соединения с сервером, во время которой проводится криптографическая работа для осуществления безопасного подключения. Техника атак на TLS handshake является максимально доступной для нападающих, а из-за того, что у многих операторов связи решения для защиты от DDoS-атак не поддерживают анализ TLS, она является еще и чрезвычайно эффективной.

Большая доля техник, использующихся для организации L7 атак, приходится на Request Rate Patterns и Broken HTTP Semantics (25,9 и 35,13% соответственно), что характерно для инструментария, популярного у хактивистов — LOIC/MHDDoS.

Именно хактивисты используют эти наиболее простые в применении техники для организации киберпротеста. Тогда как, например, более изощренные атаки используют полноценную эмуляцию веб-браузера что усложняет выявление и фильтрацию таких атак.

Атаки по полосе пропускания

Количество DDoS-атак со скоростью до 10 гигабит в секунду выросло на 19,09% по сравнению с четвертым кварталом 2021 года. Тогда как число высокоскоростных нападений более 100 гигабит в секунду уменьшилось на 6,32%. Это подтверждает факт преобладания DDoS-атак на TLS handshake и Application Layer в начале 2022 года, поскольку все атаки на шифрование являются низкоскоростными.

Перехват трафика

8 марта был зафиксирован массовый перехват трафика (BGP Hijack) российских сетей, в ходе которого было зафиксировано 3912 конфликтов с легитимными сетями. Атаки затронули 146 автономных систем по всему миру.

Виной тому оказался интернет-провайдер Lurenet, который перетягивал на себя трафик, проходящий в первую очередь через сети российских интернет-провайдеров: «Ростелеком», «МегаФон», «Билайн», МТС, «ТрансТелеком». В результате пользователи из разных стран не могли получить к ним доступ. Перехват трафика был особенно заметен для пользователей из России, Гонконга, Индонезии, США.

Перехват продлился более 10 часов и представлял собой умышленную организацию блокировки российских ресурсов. Такая ситуация возможна в случае нелегитимного анонсирования оператором сетей, которые ему не принадлежат. Для защиты от такого вида атаки разработан механизм RPKI-валидации, основанный на использовании современных криптографических методов. В данном случае сети были недоступны, поскольку не все автономные системы используют RPKI-валидацию для предотвращения перехватов трафика.

В России только 18,1% автономных систем полностью внедрили RPKI-валидацию, а 26,5% только начали разворачивать механизмы защиты. Однако и мировые показатели также не столь высоки: полное внедрение — у 24,1%, а 33,8% находятся в процессе реализации.

Компания Qrator Labs занимается сетевой безопасностью с 2010 года. Она обеспечивает доступность интернет-ресурсов и противодействие DDoS-атакам для клиентов по всему миру. Облачная инфраструктура компании базируется на 15 точках фильтрации трафика, подключенных к каналам крупнейших магистральных интернет-провайдеров в Северной и Южной Америке, Европе, странах Ближнего Востока и Азии.

Благодаря непрерывной R&D-деятельности и совершенствованию алгоритмов фильтрации Qrator Labs обладает возможностями нейтрализации архитектурно сложных, нестандартных и масштабных атак и сетевых аномалий.

Компания предлагает широкий спектр услуг сетевой безопасности, среди которых Qrator Availability Network — сеть непрерывной доступности, Web Application Firewall (WAF), CDN, Bot Protection (защита от ботов), защищенный DNS, защита интернет-инфраструктуры провайдеров. Уникальная глобальная система мониторинга интернета Qrator.Radar является разработкой компании и предоставляет данные о BGP-сессиях в реальном времени (свыше 800 BGP-сессий).