Типа отказ в обслуживании: как прогрессирует DDoS

Типа отказ в обслуживании: как прогрессирует DDoS
Старый, добрый DDoS… Мы каждый год анализируем, как меняется этот сегмент киберпреступности, и по итогам прошлого и начала этого года видим, что количество таких атак выросло более чем в 1,5 раза. За это время злоумышленники значительно нарастили мощность атак и сменили тактику. А кроме того, DDoS стал еще доступнее: судя по тому, как резко в последнее время увеличилось число атак на образовательные ресурсы и различные «электронные дневники», мир DDoS все активнее открывают для себя «хакеры» школьного возраста. В этом посте мы расскажем о DDoS-атаках, которые мы фиксировали в 2019-м и в начале 2020 года, и о том, как изменился DDoS за последнее время.




Быстрые и мощные


Хакеры ускорились. Маломощные атаки, которые длятся несколько дней, им теперь неинтересны. Например, самая долгая атака за отчетный период длилась около суток (годом ранее злоумышленники «мучили» сервер 11 дней и 16 часов).

Разумеется, злоумышленники не ослабили хватку — в противовес продолжительности возросла мощность DDoS-атак. Самая мощная за минувший период атака велась с интенсивностью 405 Гбит/с. Это, конечно, немного ниже, чем рекордная для сети «Ростелекома» атака образца 2018 года (450 Гбит/с), но в среднем показатели мощности DDoS все же возросли. Смену тактики хакеров можно объяснить тем, что в ходе атаки ботнеты, которые являются ценным активом, могут быть раскрыты защитниками. После нейтрализации атаки данные об адресах ботнетов становятся доступны другим операторам в рамках обмена информацией, и ботнет больше непригоден. Если же быстро атаковать жертву мощной волной запросов, то сервис anti-DDoS просто не успеет наполнить черный список.

Технологии DDoS – новинки арсенала


Чтобы проводить спринты со взрывами паразитного трафика, нужна хорошая техническая база. И за последнее время злоумышленники неплохо ее прокачали. Мы обратили внимание на появление новых мощных амплификаторов, которые стали активно использоваться при DDoS-атаках.

Во-первых, это UDP-based протокол Apple Remote Desktop (UDP-порт 3283), фактор амплификации которого составляет 35.5:1 (данные Netscout). Apple Remote Desktop — приложение удаленного администрирования рабочих станций под управлением macOS. Служба ARMS (Apple’s Remote Management Service) обращается к UDP-порту, который постоянно открыт на рабочих станциях под управлением macOS, когда включен режим Remote Management, даже если это противоречит настройкам безопасности на файрволе. На сегодня в глобальной сети фиксируется более 16 тыс. компьютеров под управлением macOS с открытым UDP-портом.

Также злоумышленники активно используют протокол обнаружения устройств WS-Discovery (Web Services Dynamic Discovery), применяемый в IoT-решениях. Его фактор амплификации составляет 500:1. Как и Apple Remote Desktop, WS-Discovery передает пакеты с помощью UDP-based протокола, что позволяет хакерам применять спуфинг (подмену IP-адреса) назначения пакетов. BinaryEdge насчитали в интернете порядка 630 тыс. устройств с этой уязвимостью (данные на сентябрь 2019). Пользуйся – не хочу!

Не забыли об одном из главных инструментов для DDoS – ботнеты из IoT-устройств. Самая мощная зафиксированная нами «умная» атака пришлась на 2019 год: 178 Mpps обрушились на одну из букмекерских компаний. Злоумышленники использовали ботнет из 8 тыс. реальных устройств: домашних роутеров, камер и прочих IoT-ов, а также мобильных телефонов. Не хотелось бы набрасывать нагнетать, но есть четкое ощущение, что 5G и IPv6 принесут нам новые «рекорды».

Самые популярные типы атак


В целом наиболее популярным методом DDoS-атак по-прежнему является UDP flood — около 32% в общем объеме атак. На втором и третьем местах – SYN flood (27,4%) и атаки фрагментированными пакетами (14,2%). Недалеко от лидеров – атаки типа DNS amplification (13,2%).

Злоумышленники также экспериментируют с редко используемыми сейчас протоколами — 16 (CHAOS) и 111 (IPX over IP). Однако такие атаки скорее исключение: эти протоколы не используются клиентами в реальной жизни и могут быть легко обнаружены и сброшены при подавлении атак.

Среди необычных атак прошлого года можно отметить так называемые «ковровые бомбардировки». Для них характерен перебор целей в адресном пространстве жертвы и поиск наиболее уязвимой из них. Это усложняет обнаружение и противодействие таким атакам в модели защиты per IP, когда под защиту ставятся лишь отдельные IP-адреса, а не вся интернет-инфраструктура. Самая массивная из зафиксированных нами «ковровых бомбардировок» включала почти 3 тыс. целей — был перепробован каждый адрес всех сетей одного клиента.

Последнее время злоумышленники стали сочетать разные типы атак. Пример такого DDoS-коктейля – SYN+ACK reflection. При атаках такого типа используются сторонние публичные ресурсы, на которые направляются SYN-пакет с поддельным адресом жертвы в качестве источника. Сторонние серверы отвечают пакетом SYN+ACK жертве, TCP-стек которой страдает от обработки пакетов, пришедших вне всякой сессии. Мы наблюдали ситуацию, в которой обе стороны — и жертва и сторонние ресурсы, используемые для отражения, — были нашими клиентами. У первых это выглядело как SYN+ACK reflection, у вторых как SYN flood.

Новые и старые жертвы


Сначала два слова про нашу методологию. Поскольку данное исследование базируется на данных об атаках на заказчиков сервиса Anti-DDoS компании «Ростелеком», при определении наиболее атакуемых отраслей мы формируем два аналитических среза:

1) простое распределение общего числа зафиксированных атак по отраслям,

2) средний рост числа атак на одного клиента отрасли. Этот показатель нивелирует возможную погрешность, связанную с увеличением количества заказчиков из определенной отрасли (а значит, и ростом числа фиксируемых атак).

Итак, что же мы увидели.

По отраслям


Как уже говорилось выше, количество DDoS-атак растет. На эту динамику не влияет даже закрытие ряда значимых стрессеров, а по факту, сервисов для организации DDoS (Quantum Stresser, ExoStress.in, QuezStresser.com и пр.). DDoS – это по-прежнему дешево и достаточно просто. Пик атак пришелся на октябрь 2019 года, когда онлайн-магазины готовились к Черной пятнице. DDoS в это время стал такой же традицией, как и «скидки до 90%». При этом крупных игроков рынка атакуют с помощью многовекторных целевых атак – чтоб наверняка.

Игровая индустрия пока остается лидером по DDoS: на нее пришлось 34% от общего числа атак (против 64% в 2018 году). Это не значит, что хакеры потеряли интерес к геймингу – количество атак на сегмент не снизилось, но за счет появления новых жертв, доля этой отрасли «размылась».

Тем не менее, киберспорт в целом остается лакомым куском. Игровые протоколы используют UDP в качестве транспорта. Это позволяет не только подменять адреса отправителя, но и затрудняет отслеживание сессий. За отчетный период мы наблюдали два основных типа DDoS-атак уровня приложений на игровые серверы. Первый добивается их недоступности путем отправки большого количества пакетов, которые для стороннего сервиса защиты похожи на легитимные. Защита от таких атак основана на профилировании легитимного трафика и таких мерах, как regexp и challenge-response.

Второй тип связан с эксплуатацией выявленных уязвимостей игровых протоколов и платформ. В данном случае для проактивной защиты необходим другой класс устройств – Game application firewall. Крупные игровые хостинги и производители стараются защитить серверы, встраивая различные проверки в свои программы-клиенты и связывают их с самостоятельно разработанными системами защиты.

На втором месте по популярности – телеком-компании, доля которых в общем объеме атак значительно выросла: с 10% до 31%. Как правило, это некрупные региональные ISP, различные хостинги и дата-центры, у которых нет ресурсов для отражения мощных атак, поэтому для хакеров они становятся легкой жертвой.

Помимо телекома, злоумышленники обратили внимание на образовательные учреждения и государственный сектор. Ранее их доля в общем объеме DDoS-атак составляла 1% и 2% соответственно, но за год выросла до 5% для каждого из сегментов. Мы связываем это с цифровизацией и запуском собственных интернет-ресурсов, от которых все больше зависит деятельность таких организаций особенно в период самоизоляции.

В остальных секторах без значимых изменений:



Атаки в расчете на одного клиента


Средний рост количества атак в расчете на одного клиента значительно ускорился. Если в 2018 году он составлял 21%, то по итогам 2019-го и начала 2020 года – достиг 58%. Наибольший рост числа атак в расчете на одного клиента показали образовательные учреждения – 153%. Это электронные дневники, сайты с заданиями и контрольными – все то, что мешает ученикам наслаждаться жизнью. Не исключено, что инициаторами таких атак часто являются мамкины хекеры сами учащиеся, что еще раз доказывает простоту организации DDoS на такие слабозащищенные ресурсы, как сайты школ, например.

Рост атак на одного клиента:


Что предпринять


Количество DDoS-атак будет расти, появятся новые амплификаторы, типы атак и естественно новые мишени для злоумышленников. Но, как гласит третий закон Ньютона, на каждое 
действие есть противодействие.

Методы предотвращения DDoS известны – было бы желание заняться наконец этим вопросом. Чтобы не плодить IoT-ботнеты: своевременно устранять уязвимости на всех своих устройствах, контролировать порты и не использовать IPv6.

Чтобы правильно настроить защиту в условиях быстро меняющихся векторов атак: использовать заранее подготовленные варианты противодействия конкретным типам известных атак и регулярно проверять свою инфраструктуру.

В целом можно видеть, что современные проблемы в области DDoS так или иначе связаны между собой. Поэтому защищать приложения и инфраструктуру, особенно бизнес-критичный сегмент, необходимо комплексно, на разных этапах фильтрации.
Alt text

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!