Хабрахабр

Крупнейшие DDoS-атаки первого полугодия 2020 года

Мы продолжаем знакомить вас с последствиями активности киберпреступников, ведь как говорили еще в древние времена Praemonitus, praemunitus, предупреждён — значит вооружен.
Только зная, как выглядит враг можно подготовиться к его встрече.

Сегодня хотим рассказать о крупных DDoS (distributed denial-of-service) атаках первого полугодия 2020 года.

21 июня сервис Cloudflare подвергся высокообъёмной DDoS-атаке, скорость которой достигла 754 миллионов пакетов в секунду. Атака продолжалась четыре дня, начавшись 18 июня и вплоть до 21 июня: атакующий трафик посылался с более чем 316 000 IP-адресов на один IP-адрес Cloudflare, который в основном использовался для веб-сайтов в бесплатном тарифном плане.

В течении этих четырех дней атака использовала комбинацию из трёх векторов атаки по протоколу TCP: SYN floods, ACK floods и SYN-ACK floods. Атака продолжалась в течение нескольких часов со скоростью, превышающей 400-600 миллионов пакетов в секунду, и достигала несколько раз максимума выше 700 миллионов пакетов в секунду с максимальным пиком в 754 миллиона пакетов в секунду. Злоумышленники попытались подавить маршрутизаторы и устройства центра обработки данных с помощью высокой скорости передачи пакетов.

Представители Cloudflare утверждали, что смогли погасить эту атаку, хотя, по некоторым сведениям, возможно это был только отвлекающий манёвр для масштабной кражи данных или тест перед атакой через несколько дней.

Cloudflare — американская компания, предоставляющая услуги CDN, защиту от DDoS-атак, безопасный доступ к ресурсам и серверы DNS. Сервисы Cloudflare работают как обратный прокси для сайта.
Генеральный директор: Мэттью Принц (2009 г.–)
Доход: 287 миллионов USD (2019 г.)
Штаб-квартира: Сан-Франциско, Калифорния, США
Дата основания: июль 2009 г., Сан-Франциско, Калифорния, США
Основатели: Мэттью Принц, Ли Холлоуэй, Мишель Затлин

Также 21 июня компания Akamai погасила самую большую DDoS атаку типа PPS (packet per second) из зафиксированных ранее на платформе. Атака генерировала 809 Mpps (миллионов пакетов в секунду), целью был большой банк из Европы. По словам представителей компании, это новый промышленный рекорд для PPS ориентированных атак.
Особенностью данной атаки был взрывообразный рост исходных IP адресов. Это говорит о том, что трафик был сильно распределён, к тому же, кроме объёма адресов, особенностью стало то, что почти весь трафик шёл с не участвовавших до 2020 года в атаках IPшников, что сигнализирует о появлении нового ботнета.

Необычно, что 96,2% исходных IP-адресов были обнаружены впервые (или, как минимум, не отслеживались как часть атак в недавней истории). Специалисты наблюдали несколько различных векторов атак, исходящих от 3,8% оставшихся исходных IP-адресов, совпадающих с одним вектором атаки, видимым в этой атаке в согласованности с другими. В этом случае большинство исходных IP-адресов были идентифицированы в крупных интернет-провайдерах, что означает скомпрометированные компьютеры конечных пользователей.

Атака 21 июня отличалась не только своим размером, но и скоростью, с которой она достигла своего пика. Атака взлетела с нормального уровня трафика до 418 Гбит/с практически мгновенно и достигла своего пикового размера в 809 Mpps примерно за две минуты. В общей сложности атака длилась почти 10 минут.

Akamai Technologies — поставщик услуг для акселерации веб-сайтов, провайдер платформ доставки контента и приложений. Использует 240 000 территориально распределённых серверов для более быстрой доставки контента посетителям.
Штаб-квартира: Кеймбридж, Массачусетс, США
Доход: 2,894 миллиарда USD (2019 г.)
Дата основания: 1998 г.
Генеральный директор: Франк Томсон Лейтон (1 янв. 2013 г.–)
Основатели: Франк Томсон Лейтон, Даниэль Левин, Рэндалл Каплан, Джонатан Зелиг

Ранее Amazon AWS Shield погасил BPSатаку, мощностью 2,3 Тб/сек. Атака на Akamai 418 Гбит/сек, выглядит не столь грандиозно в таком ракурсе, но не стоит забывать, что это разные виды атак, до этого рекордный объём трафика PPs атаки составлял всего лишь 293,1 млн пакетов в секунду, а это в 2,7 раза меньше, чем инцидент с Akamai.

В отчете AWS Shield Threat Landscape Report не было информации, на какого клиента AWS была направленна такая атака, но упоминается, что DDoS был организован с помощью скомпрометированных web-серверов CLDAP. Отражение атаки до угасания длилось три дня.

Amazon — американская компания, крупнейшая в мире платформа электронной коммерции и публично-облачных вычислений по выручке и рыночной капитализации.
Основатель: Джефф Безос
Дата основания: 5 июля 1994 г., Белвью, Вашингтон, США
Генеральный директор: Джефф Безос (май 1996 г.–)
Штаб-квартира: Сиэтл, Вашингтон, США
Доход: 280,522 миллиарда USD (2019 г.)

2020 год проходит под флагом борьбы с эпидемией коронавируса COVID-2019, что отразилось как на методах работы и ведения бизнеса, коммуникациях между пользователями, так и на целях и способах атак киберпреступников.
Из-за возросшей активности в использовании служб доставки, образовательных платформ, игровых серверов, средств удаленной коммуникации, повышенного интереса к информационным ресурсам медицинского характера, изменился и акцент в атаках в сети.

В частности, в марте была попытка заблокировать работу Министерства здравоохранения и социального обеспечения правительства США (HHS), какими-то, как красочно выразились представители министерства, онлайн отморозками, благо HHS в рамках подготовки к реагированию на эпидемию установил дополнительную защиту и добавил мощности своим ресурсам, что предотвратило перебои в работе.

Также в марте под атаку попала сеть больниц Assistance Publique — Hôpitaux de Paris (APHP) в Париже, которая состоит из 44 учреждений, некоторые системы были недоступны в течение нескольких часов, хоть это и принесло неудобства в работе персонала, в частности, удаленно работающих сотрудников, но и в этом случае атака была отбита.

Менее повезло службе доставки еды Takeaway.com (Lieferando.de), преступники атаковали их в то время, когда количество заявок резко возросло, но они могли лишь принимать заказы, а обработать мешала распределенная атака типа «отказ в обслуживании» на сайте. За остановку осады преступники вымогали 2 биткойна. Jitse Groen, основатель и генеральный директор Takeaway, опубликовал тогда в Twitter пост со скриншотом их сообщения.

Выкуп злоумышленникам не платили, но из-за размеров сети доставки, а это более пятнадцати тысяч ресторанов в Германии, последствия DDoS-атаки были значительными и для клиентов, и для собственников ресторанов и для самой службы. Lieferando также пришлось компенсировать пользователям оплаченные, но не выполненные заявки.

Такая же ситуация была и у голландского сервиса доставки Thuisbezorgd.

Ддосили в марте онлайн-платформу Mebis в Германии, которая предназначается для онлайн образования баварских школьников.

В первый же день перехода на дистанционное обучение сотнями тысяч автоматических просмотров страниц сайт положили на несколько часов.

Проблемы наблюдались также у игровых платформ, в частности у Blizzard и у многопользовательской игры EVE Online, особенно не повезло последней, она находилась под натиском DDOS-атаки в течение девяти дней.

В январе продолжительной DDoS-атаке подвергались серверы Wargaming. Игроки World of Tanks, World of Warships и World of Warplanes имели проблемы со входом и отключениями от сервера.

Атаковали также сервера правительственных органов Греции, выходили из строя сайты министерств, экстренных служб и даже полиции страны.

По сообщению ФБР в феврале подвергался атаке сайт регистрации избирателей США. Хакеры использовали технику псевдослучайной атаки на поддомены (PRSD), запросы происходили в течение как минимум одного месяца с интервалом примерно в два часа, причем частота запросов достигала пика около 200 000 DNS-запросов.

Список атак далеко не полный, но не все из них заслуживают упоминания, да и мы прекрасно понимаем, что в некоторых случаях, под видом DDoS компании могут скрывать свою некомпетентность в поддержке возросшего количества пользователей, заранее не предусмотрев дополнительные мощности в оборудовании и своих сервисах.


На правах рекламы

Серверы с бесплатной защитой от DDoS — это про нас! Все серверы «из коробки» защищены от DDoS-атак.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть