Согласно статистике ProlexicTechnologies, в январе-марте 2013 года средняя мощность DDoS-атак повысилась на 718% и составила 48,25 Гб/с. Более того, эксперты отметили тенденцию к росту pps-показателя: в минувшем квартале он достиг 32,4 млн. пакетов в секунду. Этот показатель обычно не учитывается в статистических отчетах, однако атаки с высоким ppsнацелены, в первую очередь, на вывод из строя таких элементов инфраструктуры, как сетевые карты и граничные маршрутизаторы. Справиться с многомиллионным pps-потоком способны лишь самые дорогие устройства, порог остальных заведомо ниже.

Около 25% DDoS-атак, заблокированных Prolexic, составили инциденты мощностью менее 1 Гб/с, в 11% случаев этот показатель превысил 60 Гб/с. Самая мощная DDoS-атака была зафиксирована в марте — 130 Гб/с. Пытаясь противостоять атакам большой мощности, многие операторы сетей и интернет-провайдеры вынуждены зафильтровывать весь трафик на атакуемом IP-адресе, чтобы сохранить работоспособность остальных хостов в сети. Этот способ известен как nullrouting, или blackholing, и весьма неприятен для заблокированного клиента. Что касается, pps-показателя, в 22% случаев он превысил 20 млн., в 26% — опустился ниже 1 млн., что характерно для атак прикладного уровня. Самым «урожайным» месяцем оказался март, на который пришлось 44% квартальных DDoS‑атак.

По данным Prolexic, 76,54% DDoS‑атак были проведены с использованием протоколов 3-го и 4-го уровня, остальные — на прикладном уровне. Наибольшее распространение получили такие типы атак, как SYN flood (25,83%), HTTP GET flood (19,33%), UDP flood (16,32%) и ICMP flood (15,53%).   

В Испании по запросу голландских властей задержан предполагаемый инициатор недавней DDoS-атаки на антиспамерскую организацию Spamhaus, создавшей большие проблемы в европейском сегменте интернета.

В пресс-релизе прокураторы Нидерландов задержанный значится как «35-летний голландец S.K.». Не исключено, что речь идет о Свене Камфёйсе (Sven Olaf Kamphuis), проживающем в Барселоне владельце голландской хостинг-компании Cyberbunker, чье имя часто фигурирует в черных списках от Spamhaus. Активисты вновь заклеймили Cyberbunker в минувшем марте, после чего на Spamhaus, ее хостера и канальных провайдеров обрушилась мощнейшая в истории DDoS-атака. Ответственность за нее взяла на себя оппозиционерская группа Stophaus, заявление которой озвучил в прессе Камфёйс.

На барселонской квартире задержанного проведен обыск, в ходе которого изъяты компьютерная техника и мобильные телефоны. Ожидается, что в скором времени «S.K.» будет препровожден в Нидерланды. В расследовании данного дела, помимо голландской полиции, принимают участие правоохранительные органы США и Великобритании.

Из-за DDoS-атаки на государственный сервис многие голландцы не смогли воспользоваться гражданским ID для оплаты счетов и налоговых сборов.

23 и 24 апреля неизвестные злоумышленники атаковали DigiD – единую систему авторизации в инфраструктуре, обеспечивающей голландским гражданам доступ к государственным сервисам. Простой этого веб-портала обескуражил многих налогоплательщиков: все налоговые декларации в стране уже несколько лет принимаются лишь в электронной форме. По официальным данным, DigiDв настоящее время используют свыше 10 млн. голландцев (численность населения Нидерландов составляет 17 млн.) и более 500 правительственных структур.

Министерство внутренних дел Нидерландов заявило, что в ходе инцидента персональные данные пользователей не пострадали. Полиция и национальный центр кибербезопасности уже проводят расследование.

Апрель для голландцев стал урожайным на DDoS-атаки. В начале месяца варварскому нападению подверглись крупнейший банк Нидерландов ING, авиакомпания KLM и популярная платежная система iDeal. Их веб-сервисы были недоступны по нескольку часов, утечки пользовательских данных не зафиксировано.

Из-за DDoS-атаки на DNS-серверы группы компаний Hosting Community (часть медиахолдинга РБК) многие сайты Рунета оказались недоступны для пользователей.

В понедельник, 22 апреля, был атакован российский регистратор доменных имен Ru-Center, на следующий день – крупнейший хостинг-провайдер «Хостинг-центр». Клиентская база обеих компаний совокупно составляет около 2,5 млн. веб-сайтов. Инцидент затронул большинство онлайн-сервисов крупных федеральных банков, новостные порталы и агентства, сайты многих туроператоров, почтовые службы. По некоторым оценкам, проблемы испытали до 60 % российских сетевых ресурсов.

23 апреля Ru-Center публично заявил о проблемах с доступом к своим DNS-серверам, пояснив, что затруднения связаны с текущей DDoS-атакой. Зарубежные канальные провайдеры начали фильтровать вредоносный трафик, блокируя его источники. По этой причине зарубежный NS-сервер Ru-Center практически недоступен из России, а два отечественных – из-за границы.  

В тот же день представитель Hosting Community признал, что нейтрализовать DDoS-атаку удалось лишь частично. Очевидно, ее мощность превышает пропускную способность каналов и NS-серверов, используемых хостинг-провайдерами, хотя конкретных цифр никто пока не называл. По данным Hosting Community, злоумышленники атакуют DNS-службы и других российских компаний.

По данным NBC News, за минувшие полтора месяца веб-сайты 15-ти крупнейших американских банков были недоступны совокупно 249 часов. Для сравнения: год назад суммарный простой тех же объектов за тот же период составил 140 часов. Замеры по просьбе новостного портала проводили эксперты Keynote Systems, которые в ухудшении ситуации винят, главным образом, DDoS-атаки, проводимые злоумышленниками в рамках «операции Абабиль».

Это мощнейшее DDoS-наступление на сферу банковских услуг началось больше полугода назад и все еще продолжают досаждать клиентам и службам безопасности банков. В феврале атакующие взяли тайм-аут, а затем вновь пошли на приступ. 12 марта DDoS-атаке подвергся веб-сервис JPMorgan Chase, в результате чего у некоторых клиентов возникли проблемы с доступом. В конце марта аналогичные нападения были совершены на сайты Wells Fargo и American Express, а в начале апреля злоумышленники вновь попытались вывести из строя онлайн-ресурс Wells Fargo. К сожалению, ни одна из пострадавших организаций не раскрыла подробности пережитой атаки.

Ассоциация американских банкиров (АВА) отметила интенсификацию DDoS-атак на финансовые учреждения и готовится к их дальнейшей экспансии. Дуг Джонсон (Doug Johnson), вице-президент АВА по управлению рисками, подчеркнул, что злоумышленники ни разу не воспользовались временным превосходством, чтобы украсть информацию. По его мнению, эти атаки имеют целью дестабилизацию интернет-сервиса, а не вторжение – «все равно как стучаться в закрытую дверь, не пробуя войти».

Никто из экспертов, прокомментировавших для NBC News последние DDoS-атаки, не верит, что атакующие до сих пор мстят за публикацию оскорбительного для мусульман видео на YouTube, хотя «кибервоины Изз ад-Дин аль-Кассама» утверждают обратное. Кстати, эта группа хактивистов, взявшая на себя ответственность за «операцию Абабиль», почти перестала именовать свои жертвы перед нападением. Как бы то ни было, любые борцы за идею давно бы сложили оружие, исчерпав свои ресурсы, или переключились на другие цели.

В данном же случае атакующие демонстрируют не только высокий технический уровень и хорошее знание способов защиты от DDoS, но также наличие большого потенциала. Применяемая ими техника позволяет в разы увеличивать мощность атаки при весьма ограниченной базе, однако эксперты сходятся во мнении, что злоумышленники пускают в ход лишь часть своих резервов. Наблюдаемые DDoS пока сводятся, в основном, к временным перебоям в работе веб-сервисов, и в экстренных случаях клиенты банков всегда могут воспользоваться телефоном или мобильным приложением, пока сайт недоступен. Эксперты Keynote отмечают, что даже во время мощнейшей DDoS-атаки, предпринятой в пику Spamhaus, трафик пришел в норму за несколько часов, ибо вовлеченные в разборку интернет-провайдеры быстро нашли обходные пути для своих пакетов.

Безусловно, такие серьезные киберинциденты дорого обходятся жертвам. По оценке Solutionary, поставщика управляемых систем безопасности, на ликвидацию последствий современной DDoS атаки организации тратят до 6,5 тыс. долларов в час — без учета упущенной выгоды за время простоя.

DDoS-атака, начавшаяся как акция протеста против «произвола» антиспамерской организации Spamhaus, переросла в методичный обстрел всех линий ее обороны из тяжелых орудий. Возрастающая волна паразитного трафика докатилась до верхних магистралей сетевой иерархии, забив многие каналы, вызвав заторы в точках обмена трафиком и сбои в работе ряда сервисов. Самые большие проблемы при этом наблюдались в европейском регионе. Как выяснилось, основную массу вредоносного потока генерировали открытые DNS-резолверы; мощность этих DDoS-атак на пике превысила 300 Гб/с, побив все известные рекорды.

Первые проблемы у Spamhaus начались 15 марта. Веб-сайт и почтовый сервер борцов со спамом легли под DDoS‑атакой на весь уикенд, и подписчики вынуждены были прибегнуть к альтернативным способам обновления черных списков, составляемых британскими активистами. Эти блоклисты, по некоторым оценкам, помогают ежедневно отсеивать до 80% спама в интернете. Судя по нелицеприятным заявлениям на Pastebin и позднее в New York Times, нападение было предпринято противниками антиспамеров; последний оратор даже прикрылся именем заведомо «обиженной» стороны – голландского хостинг-провайдера Cyberbunker, занесенного в черные списки за спам полтора года назад. К слову сказать, сам Cyberbunker пока не подтвердил свое участие в этом заговоре.

Исследователь IT рынка Gartner опубликовала годовой отчет о кибератаках на финансовые и коммерческие сервисы, особо отметив тенденции, которые, по ее мнению, сохранят актуальность в текущем году.

Эксперты ожидают, что 25% грядущих DDoS-атак составят атаки на уровне приложений. Такие инциденты истощают системные ресурсы сервера и блокируют доступ к веб-приложению, избранному в качестве вектора атаки. Во второй половине минувшего года злоумышленники предприняли ряд сокрушительных DDoS-атак на крупнейшие американские банки, ― эта дерзкая акция также известна как «операция Абабиль». Мощность этих атак достигала 70 Гбит/с, тогда как прежде DDoS-трафик, направленный на сетевую инфраструктуру мишени, не превышал 5 Гбит/с, и крупные организации успешно справлялись с такими нагрузками. По оценке Gartner, DDoS-атаки в десятки Гбит становятся нормой и сохранят этот статус в текущем году, посему бизнес-структурам рекомендуется пересмотреть конфигурацию своих сетей и изменить их архитектуру, чтобы снизить возможный ущерб от DDoS. Тем, для кого простой онлайн-сервисов критичен, надлежит использовать многоуровневую анти-DDoS защиту.

Ввиду учащения случаев использования злоумышленниками техники отражения DNS-запросов при проведении DDoS-атак Trend Micro призывает операторов NS-серверов и интернет-провайдеров внести посильный вклад в борьбу с этой угрозой.

Как мы уже писали, DDoS-атака по типу отражения DNS-запросов (DNS reflection) предполагает использование NS-резолверов, принимающих рекурсные запросы от сторонних пользователей, ― так называемых «открытых резолверов». Атакующий формирует DNS-запрос, подменяя IP-адрес источника, и направляет его на такой сервер. Ответ, разумеется, пойдет туда, куда перевели стрелки, ― на адрес мишени. Чтобы увеличить объемы трафика, создаваемого с помощью NS-посредника, дидосер отсылает на него запросы, требующие пространного ответа, такие как запрос на вывод всех DNS-записей в конкретной зоне или записей DNSSEC. Пропускная способность DNS-резолверов достаточно велика, поэтому атакующий может создать мощный DDoS-трафик при малом числе хостов-участников.

Завершив очередную серию DDoS-атак на американские банки, исламистская группировка, именующая себя «кибервоины Изз ад-Дин аль-Кассама» (Izz ad-Din al-Qassam Cyber Fighters), объявила о перемирии.

Хактивисты дали понять, что удовлетворены результатами протестной акции: видеоролик «Невинность мусульман» ― официальное яблоко раздора ― был удален с YouTube (правда, лишь оригинал). Вполне возможно, что «отбой» состоялся по какой-то иной причине: по словам экспертов-наблюдателей DDoS и участников обороны, основные потоки вредоносного трафика в рамках «операции Абабиль» исходили не с хактивистских компьютеров, как это обычно происходит, а с тысяч зараженных веб серверов, на большинстве которых установлена CMS Joomla. Большая мощность этих DDoS-атак, на пике составлявшая 70-100 Гб/с, их высокий технический уровень и тщательный отбор основных мишеней ― хорошо защищенных и имеющих опыт самозащиты ― породило предположение, что громкая краудсорсинг-акция исламистов ― лишь дымовая завеса, прикрытие для более серьезной демонстрации силы.

В минувшем квартале эксперты Prolexic Technologies зафиксировали рост числа DDoS-атак, проводимых по клиентской базе компании, и расширение спектра мишеней, атакуемых злоумышленниками.

В октябре-декабре защитные решения Prolexic отразили 7 DDoS-атак мощностью свыше 50 Гб/с. От них в равной степени страдали финансовые организации, предприятия электронной коммерции и SaaS-сервисы. По свидетельству экспертов, нападающие использовали не только тулкит itsoknoproblembro, уже получивший альтернативное имя ― BroDoS, но и другие инструменты, создававшие не меньший DDoS-трафик.

Общее количество DDoS-атак за квартал побило все рекорды, пик этой активности пришелся на ноябрь. Согласно статистике Prolexic, три четверти атак были проведены с использованием протоколов 3 и 4 уровня, остальные ― на уровне приложений. Примерно такое же соотношение наблюдалось в течение всего года. Наибольшее распространение в отчетный период получили такие техники, как SYN flood (24% атак), GET flood (20,6%), ICMP flood (18%) и UDP flood (15,5%). При этом SYN flood обычно проводились с ботнетов на базе ПК, UDP flood ― с веб-серверов с предустановленными шелл-скриптами. В создании DDoS-трафика прикладного уровня участвовали все наличные силы ― и боты, и веб-скрипты.