Стало только хуже? DDoS-атаки во втором полугодии 2024 года

Введение

Мы уже продолжительное время наблюдаем тенденцию к непрерывному росту количества и мощности DDoS-атак. Это негативно сказывается на доступности как публичных, так и корпоративных сервисов. При этом последствия могут быть разными — от финансовых потерь и утечек данных до репутационного ущерба. 

Для борьбы с DDoS-атаками важно всегда держать руку на пульсе и следить за динамикой. Так, мы уже публиковали аналитический отчет за первое полугодие 2024 года и выяснили, что тенденция не иллюзорна. С января по июнь нашим бесплатным сервисом защиты от DDoS были отражены 31 436 атак длительностью в 3 895 часов. При этом максимальный объем атак составил 332 Гбит/с, а скорость — 166 млн пакетов в секунду. Более подробные выводы можно посмотреть в самом отчете. 

Но как показал себя DDoS во втором полугодии? Есть ли тенденция на спад атак или стало только хуже? Более 25 000 клиентов Selectel генерируют сетевой трафик объемом свыше 300 Гбит/с. Уникальные данные, которые мы получаем в ходе анализа атак на наши сервисы и проекты клиентов, позволяют оценить ландшафт угроз для облачной инфраструктуры. В этом материале мы проанализировали данные собственного мониторинга и собрали аналитику по DDoS-атакам, отраженным с помощью бесплатного сервиса защиты за второе полугодие 2024. 

Рекомендуем сохранить отчет и поделиться им со своими специалистами. Приведенные данные позволяют оценить динамику и основные характеристики DDoS в разрезе облачной инфраструктуры, скорректировать настройки своих IT-систем для защиты.

Ключевые выводы

Анализ приведенной в отчете статистики указывает на наличие тенденции к резкому увеличению общего количества инцидентов при постепенном увеличении мощности и снижении скорости атак в сравнении с первым полугодием 2024 года.

За период с июля по декабрь 2024 года бесплатным сервисом защиты от DDoS-атак Selectel были отражены 80 735 атак общей продолжительностью 9 718 часов. Максимальный объем атаки составил 412 Гбит/с, а скорость — 103 миллиона пакетов в секунду. В среднем мы отражали 13 455 атак ежемесячно. При этом самыми популярными были атаки типа TCP PSH/ACK Flood, TCP SYN Flood и UDP Flood, которые занимают 70% от общего количества атак.

• 192 000 ₽/мес.

  Стоила бы защита от DDoS-атаки нашему клиенту, если бы он использовал стороннее решение

Наиболее мощные атаки наблюдались в июле и ноябре, а продолжительные — в октябре. Средняя общая длительность атак на одного клиента не превышала 10 часов, а максимальное время, в течение которого один клиент находился под атакой, достигло 492 часов. 

Максимальное количество атак за месяц на одного клиента во втором полугодии составило 4 621 инцидент. Подобный объем невозможно отбить вручную, поэтому базовая бесплатная защита — важная часть услуг облачного провайдера.

Аналитика атак

Количество

За период с июля по декабрь 2024 года бесплатным сервисом защиты от DDoS-атак Selectel были отражены 80 735 атак. Вместе с этим наибольшее число инцидентов пришлось на октябрь. В среднем мы отражали 13 455 атак в месяц и 65 — на каждого атакованного клиента.

Максимальное число атак на одного клиента варьировалось от месяца к месяцу и в среднем составило 2 780 инцидентов. А наибольшее количество было зафиксировано в сентябре — 4 621 инцидент.

Мощность

Основные характеристики атаки, определяющие ее мощность на сетевом и транспортном уровнях, — это объем и скорость. 

Атаки большого объема, измеряемого в количестве переданных бит за одну секунду, направлены на переполнение полосы пропускания. Наибольший объем был достигнут в ноябре и составил 412 Гбит/с.

Несмотря на рекордный объем атак в ноябре, средний объем переданных данных за один инцидент в этом месяце оказался близким к минимальному. Притом наибольшее значение среднего объема переданных данных за атаку составило 48 ГБ и было отмечено в июле. А вот среднее количество переданных пакетов колебалось в десятки раз. Максимальное значение в 500 миллионов, также зафиксированное в июле, в 24 раза превышает минимальное, которое зарегистрировано в сентябре.

Атаки с большой скоростью направлены на исчерпание вычислительных ресурсов сетевого оборудования. Самый скоростной инцидент был зафиксирован в июле. Значение достигло 103 миллионов пакетов в секунду, что почти в пять раз больше максимальной скорости атаки в декабре.

Продолжительность

Суммарная продолжительность атак с июля по декабрь 2024 года составила 9 718 часов. А наибольшая продолжительность зарегистрирована в октябре и достигает 2 167 часов. Это почти в два раза больше, чем в ноябре.

За исключением июля, средняя длительность атаки не превышала 7 минут, а максимальная длительность зафиксирована в декабре — 202 часа, что почти в 10 раз больше значений предыдущих месяцев.

При этом средняя общая продолжительность атак на одного клиента во втором полугодии 2024 года не превышала 10 часов. А максимальная — превысила 492 часа за один календарный месяц.

Типы атак

Распределение типов атак по месяцам во втором полугодии 2024 года менялось незначительно. Самыми популярными были атаки типа TCP PSH/ACK Flood, TCP SYN Flood и UDP Flood, которые занимают 70% от общего количества атак.

UDP Flood осуществляется путем отправки большого количества UDP-датаграмм на заданные или случайные порты целевого узла. Узел обрабатывает каждый пакет, определяет, к какому приложению он относится, проверяет наличие активности и отправляет ICMP-сообщение с уведомлением о недоступности адресата. Эти операции требуют вычислительных ресурсов, и при большом количестве могут привести к перегрузке атакуемого узла.
TCP SYN Flood реализуется путем отправки множества SYN-запросов на подключение, при этом ответные SYN+ACK пакеты, отправленные сервером, игнорируются. Это приводит к тому, что на сервере появляется очередь из полуоткрытых соединений, которые не позволяют установить новые — легальные — подключения, что приводит к невозможности подключения легитимных пользователей или длительному ожиданию.

TCP PSH/ACK Flood осуществляется путем отправки большого количества фальшивых ACK-пакетов на заданные или случайные номера портов целевого узла, которые не соответствуют ни одной из активных сессий. В результате узел вынужден затрачивать ресурсы на проверку этих поддельных пакетов.

Итоги 2024 года

По результатам анализа показателей мы наблюдаем непрерывный значительный рост количества атак, их мощности и скорости. Атаки носят массовый характер, а в случае выбора конкретной цели злоумышленники атакуют инфраструктуру в течение длительного времени. Инциденты продолжаются десятки, иногда сотни часов. А количество атак на один сервис или организацию исчисляется тысячами.

Всего за 2024 год мы отразили 112 171 атаку на клиентов облачной инфраструктуры. Количество инцидентов во втором полугодии увеличилось с 31 436 до 80 735 (в 2,5 раза), среднее количество атак на одного клиента — с 27 до 65 (в 2,4 раза), а максимальное — с 1 278 до 4 621 (в 3,6 раза).

Максимальный объем был в ноябре и составил 412 Гбит/с, а максимальная скорость — 166 миллионов пакетов в секунду, что зафиксировано в феврале. А количество переданных данных, как и количество пакетов, держится в одном диапазоне от месяца к месяцу, кроме аномального всплеска в июле.

Общее время, в течение которого наши клиенты были под атакой, составило 13 613 часов. Вместе с увеличением количества атак выросла и их общая продолжительность, когда как средняя длительность одной атаки изменяется незначительно. 

Участились повторные инциденты, поэтому показатель максимальной общей длительности атак на одного клиента увеличился со 172 часов в апреле до 492 в июле, а максимальное время одной атаки составило 202 часа в декабре — против 156 часов в апреле.

Самыми популярными атаками стали UDP Flood, TCP SYN Flood и TCP PSH/ACK Flood. На их долю приходится 70% всех инцидентов.

Методология

Основной источник данных для отчета — системы защиты от DDoS-атак, которые мы используем на уровне сетевой инфраструктуры дата-центров Selectel. Весь входящий трафик проходит через узлы очистки и анализируется на наличие вредоносной активности.

Бесплатный сервис защиты от DDoS-атак работает при использовании облачной платформы Selectel, платформенных сервисов и выделенных серверов, включая аттестованные сегменты. 

Сервис обеспечивает защиту на сетевом (L3) и транспортном (L4) уровнях от: 

• атак с отражением на основе UDP (DNS, NTP, memcache и пр.);
• атак с использованием фрагментированного IP-трафика;
• TCP SYN/RST/PSH flood;
• различных типов UDP flood и ICMP flood.

Отдельной атакой считается вредоносная активность, которая:

• направлена на конкретный IP-адрес;
• относится к одному типу атак;
• имеет перерывы в активности не более трех минут.

Пример 1. Атаки UDP Flood на один и тот же IP-адрес с промежутком в минуту будут объединены в одну. В течение трех минут после прекращения активности атака будет считаться завершенной.
Пример 2. Одновременно один и тот же IP-адрес атакуют с помощью Flood- и Reflection-атак. Активность продолжается в течение семи минут. В данном случае будет зафиксировано две атаки.