«Лаборатория Касперского»
По итогам 2018 г. «Лаборатория Касперского» отметила снижение общего количества DDoS-атак на 13% по сравнению со статистикой за предыдущий период. При этом продолжительность смешанных атак и HTTP-флуда (когда атакующий бот генерирует большое количество HTTP-запросов к серверу жертвы) растёт, а значит, злоумышленники обращаются к более сложным методам, заключают эксперты.
Низкая стоимость DDoS как услуги делает такие атаки одним из самых доступных видов кибероружия. По данным «Лаборатории Касперского», всё больше организаций внедряют решения для защиты от простых видов DDoS-атак, и в 2019 г. злоумышленники, скорее всего, улучшат свои знания, чтобы преодолеть стандартные меры защиты от DDoS и сделать этот тип киберугроз ещё более сложным.
Хотя количество атак уменьшается, анализ «Лаборатории Касперского» выявил, что средняя продолжительность DDoS-атаки растёт. По сравнению с началом года средняя продолжительность атак увеличилась более чем в два раза — с 95 мин в 1-м квартале 2018 г. до 218 мин в четвёртом. Примечательно, что атаки типа UDP-флуд (когда сервер-жертва получает огромное количество UPD-пакетов в единицу времени от широкого диапазона IP-адресов), на которые приходится почти половина (49%) DDoS-атак в 2018 г., были очень короткими и редко длились более 5 мин.
Эксперты «Лаборатории Касперского» предполагают, что сокращение продолжительности UPD-флуда свидетельствует о том, что рынок более простых в плане организации атак сокращается. Защита от DDoS-атак такого типа получает широкое распространение, что делает их неэффективными в большинстве случаев. По мнению исследователей, злоумышленники запустили множество UPD-флуда, чтобы проверить, защищён ли целевой ресурс. Если сразу становилось понятно, что попытки не увенчались успехом, злоумышленники останавливали атаку.
В то же время более сложные атаки (например, через HTTP), которые требуют времени и денег, ещё долго будут актуальными. Согласно отчёту «Лаборатории Касперского», HTTP-флуд и смешанные атаки с HTTP-компонентом составляют около 80% всего времени активности DDoS-атак в течение целого года.
Что касается результатов за 4-й квартал 2018 г., самая долгая DDoS-атака длилась 329 ч (практически 14 дней). Настолько продолжительная атака в последний раз была зафиксирована в конце 2015 г.
Три страны, лидирующие по количеству проводимых в них DDoS-атак, остаются прежними. Китай снова на первом месте, при этом его доля значительно снизилась — с 78% до 50%. США остаются вторыми (25%), а Австралия — третьей (5%).
В географическом распределении мишеней лидером по-прежнему является Китай — 43% (71% в третьем квартале 2018 года). Десятку лидеров покинули Россия и Сингапур, зато в неё вошли Бразилия (3%) и Саудовская Аравия (2%).
В четвёртом квартале также произошли изменения в странах, где размещено подавляющее число серверов злоумышленников. Как и в предыдущем квартале 2018 г., лидер — США, а Великобритания и Нидерланды заняли второе и третье места, заменив Россию и Грецию соответственно. Вероятно, это связано с тем, что количество активных серверов ботнета Mirai значительно возрастает в вышеупомянутых странах.