Поделиться
Qrator Labs представила статистику DDoS-атак и BGP-инцидентов в I квартале 2022 года
Qrator Labs, специализирующаяся на обеспечении доступности интернет-ресурсов и нейтрализации DDoS-атак, представила статистику DDoS-атак и BGP-инцидентов в I квартале 2022 г.
I квартал 2022 года оказался беспрецедентным с точки зрения DDoS-активности, напрямую связанной с событиями на Украине.
Основу атак составили нападения хактивистов, выражающих свой социальный протест посредством организации кибератак и при этом не ищущих финансовой или иной выгоды.
Хактивисты представляют собой разрозненные группы людей, объединенных лишь мотивацией – подавить различные веб-ресурсы и онлайн-сервисы в ходе социально-политического конфликта. У таких группировок обычно отсутствует руководство, а в качестве средств координации для выбора цели атаки, методов и сроков нападения они используют обычные мессенджеры.
В I квартале 2022 г. был зафиксирован рекордный инцидент, в котором оказалось задействовано 901600 устройств.
В I квартале этого года среди кибернападений преобладали атаки уровня приложения (Application Layer, L7). В них используется шифрованный трафик, а запросы походят на трафик легитимных пользователей. Для очистки такого трафика требуется большое число вычислительных мощностей, поэтому этот класс атак является наиболее сложным в обнаружении и фильтрации.
Дополнительно в топ вышли атаки на шифрованный трафик TLS handshake. Рукопожатие TLS – это этап установки HTTPS-соединения, в рамках которого выполняется вся криптографическая работа для осуществления безопасного соединения. Техника атак на TLS handshake является максимально доступной для нападающих, а из-за того, что у многих операторов связи решения для защиты от DDoS-атак не поддерживают анализ TLS, она является еще и чрезвычайно эффективной.
Большая доля техник, использующихся для организации L7-атак, приходится на Request Rate Patterns и Broken HTTP Semantics (25,9% и 35,13% соответственно), что характерно для инструментария, популярного у хактивистов – LOIC/MHDDoS. Именно хактивисты используют эти наиболее простые в применении техники для организации киберпротеста. Тогда как, например, более изощренные атаки используют полноценную эмуляцию веб-браузера что усложняет выявление и фильтрацию таких атак.
Количество DDoS-атак полосой до 10 Гб/с выросло на 19,09% по сравнению с IV кварталом 2021 г. Тогда как число высокоскоростных нападений более 100 Гб/с уменьшилось на 6,32%. Это подтверждает факт преобладания DDoS-атак на TLS handshake и Application Layer в начале 2022 г., поскольку все атаки на шифрование являются низкоскоростными.
8 марта был зафиксирован массовый перехват трафика (BGP Hijack) для сетей РФ, в ходе которого было зафиксировано 3912 конфликтов с легитимными сетями. Инцидент затронул 146 автономных систем по всему миру.
Виной тому оказался интернет-провайдер Lurenet, который перетягивал на себя трафик многих сетей, принадлежащих в первую очередь российским интернет-провайдерам, таким как «Ростелеком», «Мегафон», «Билайн», МТС, «Транстелеком». В результате чего пользователи из разных стран не могли получить к ним доступ. Перехват трафика был особенно заметен для пользователей из России, Гонконга, Индонезии, США.
Данный инцидент общей длительностью более 10 часов представлял собой умышленную организацию блокировки российских ресурсов. Такой вид блокировки возможен в случае нелегитимного анонсирования оператором сетей, ему не принадлежащих. Для защиты от подобного вида инцидентов разработан и активно внедряется механизм RPKI-валидации, основанный на использовании современных криптографических методов. В данном инциденте сети были недоступны, поскольку не все автономные системы используют RPKI-валидацию для предотвращения перехватов трафика.
В России только 18,1% автономных систем полностью внедрили RPKI-валидацию, а 26,5% только начали разворачивать механизмы защиты. Однако и мировые показатели тоже не столь высоки: полное внедрение – у 24,1%, а 33,8% находятся в процессе реализации.
Короткая ссылка
