Глобальнейшая атака в сети была осуществлена на Amazon. Эта DDoS-атака была мощнейшей, оценена в 2,3 Тбит/с. С момента начала оценки DDoS-атак, эта признана наиболее глобальной. На «пьедестале» подобных атак данное происшествие сменило уже ушедшего в прошлое «лидера» GitHub, считавшегося ресурсом, пережившим крупнейшую атаку до момента нападения на Амазон.
Amazon проинформировал, что в феврале они пережили и смогли отразить атаку с феноменальной мощностью 2,3 Тбит/с. Атака отказа в обслуживании превзошла предыдущую крупнейшую почти в два раза. Как уже сообщалось ранее, долгое время (с 2018 года) титул лидера по мощности пережитой DDoS-атаки носил ресурс GitHub. Эта атака 1,35 Тбит/с выполнялась в две волны, ее особенность в отсутствии ботнета.
Титул крупнейшей атаки постоянно оспаривается, так на него претендовала и компания Imperva, заявившая в январе прошлого года, что пережила крупнейшее нападение, однако тонкость в том, что данная компания подходит к оценке мощности DDoS-атак немного с другого ракурса. Итак, клиента Imperva подвергся атаке с объемом 500 млн. пакетов в секунду. Однако даже это не предел, в апреле 2019 та же компания заявляет о еще более мощном нападении, новая атака развивает объем в 580 млн. пакетов в секунду. Особенно впечатляюще выглядит этот показатель в сравнении с атакой на GitHub, объем которой составлял всего 129,6 млн. PPS. Соответственно интернет-нападение на клиента Imperva можно считать мощнейшим в истории, однако исключительно по объему пакета.
Давайте разбираться, понятно само собой, что измерение мощности по количеству полосы пропускания – не сравнимо с оценкой атак, по количеству пакетов. Само собой, два столь разных пути подсчета мощности атаки сравнивать довольно сложно. И вне зависимости от объема, атаки могут иметь разную сложность и трудность предотвращения и защиты. Как все-таки измеряются мощность DDoS-атак в единой системе и возможно ли это? Стоит ли считать одни атаки опаснее и тяжелее других, или сравнивать их практически невозможно?
Мы стараемся не быть голословными, поэтому желаем подкрепить собственные выводы расчетами и фактами. Попробуем в качестве наглядного пособия, рассмотреть и изучить последние крупнейшие DDoS-атаки в истории сети. Причем рассмотрим оба варианта оценки мощности атаки.
Поехали!
Мощнейшая DDoS-атака – сценарий нападения и отражения
До 2020 года за звание мощнейшей атаки в истории сети боролись две компании GitHub и Imperva, однако в этом году к соперничеству присоединилась компания AWS, заявляющая, что в начале года пережила впечатляющее нападение, превзошедшее известные ранее DDoS-атаки.
AWS Shield справляется с нападением 2,3 Тбит/с
В компании Amazon произошло ЧП в феврале этого года, по сообщениям представителей компании, их управляющая служба защиты AWS Shield 17 февраля «засекла» и смогла частично погасить атаку, развившую скорость в 2,3 Тбит/с. Это глобальнейший показатель в этом году. Однако, как отмечают представители компании, атака была далеко не единственной. Объем атак по сравнению с последним кварталом 2019 года вырос на 10% и почти на четверть в сравнении с первым кварталом прошлого года – тенденция, как говорится, неутешительная.
Что нам известно о произошедшем? Со слов представителя компании, ситуация развивалась следующим образом:
«В феврале 2020 года наша служба защиты стала свидетелем мощнейшей атаки с отражением UDP-пакетов, объем данной атаки впечатляет - 2,3 Тбит/с. Это почти вдвое больше, чем виданные ранее объемные события, имевшие место в истории AWS. Атака подобного масштаба привела к солидным проблемам, около 3 дней потребовалось для устранения проблем. Отмечается также, что данная атака была крупнейшей, однако не единственной в этом году. Менее крупные атаки встречаются повсеместно. 99 процентиль, как отмечает представитель компании в начале этого года – 43 Гбит/с.»
Imperva: атака с впечатляющим объемом пакета
В начале 2019 года клиент Imperva подвергся SYN DDoS-атаке впечатляющего объема, по оценкам специалистов компании, потеря данных достигала 500 миллионов PPS. По расчетам, каждый пакет содержал от 800 до 900 байт данных. Казалось бы, число в 900 байт не очень-то впечатляет, однако давайте немного разберемся в вопросе, постаравшись вычислить общий объем потери данных при таком количестве пакетов. Давайте произведем несложные расчеты, примерный объем одного пакета 850 байтов. Давайте считать, 500 миллионов пакетов с объемом 850-байтов ведут к атаке, примерно в 396 Гбит/с (это составляет примерно 425 млрд байтов, в пересчете на биты – это 3,4 триллиона). Достаточно представить, что на вашу систему обрушивается такая нагрузка, и вы сможете представить, что представляет собой современная мощная DDoS-атака.
Представитель Imperva сообщает примерно следующее:
«Результаты изучения этого происшествия показывают, что атака была проведена «по старинке», без применения инновационных инструментов. Применялся принцип СИН-атаки, причем двух одновременно. Инструменты имитировали вполне законные операции, но некоторые различия настораживали, так один из инструментов рандомно выдавал параметры, случайно якобы повреждая пакеты данных. Другой применял вполне законный пакет для атаки (максимально идентичный). Несмотря на то, что инструменты разрабатывались, скорее всего, отдельно и разными разработчиками они были объединены в систему для организации мощней атаки в истории сети.».
GitHub и особенности атаки
Всем известная платформа GitHub создана для разработчиков и предлагает комфортный контроль и правление всеми рабочими проектами, также доступно управление исходным кодом Git. Он обеспечивает контроль версий, облегчая координацию взаимодействий между людьми, работающими с файлом. В общих чертах, GitHub представляет собой хранилище любых кодов и проектов. Стоит отметить, что применяется хеширование SHA-1, но тот отдельный нюанс, о котором поговорим как-нибудь потом.
В конце февраля 2018 года, платформа GitHub подвергается мощнейшей DDoS-атаке. На первом этапе атаки платформа GitHub ощущается небольшие затруднения в работе. Однако атака развивается по принципу лавины и примерно через 10 минут GitHub связывается с Akamai, ставя задачу смягчить последствия данной атаки. Сведя урон к минимуму.
Akamai запускает собственный фильтр трафика платформы, используя свои системы, являясь «мостом». Akamai прогоняет поток данных сквозь свои «центры очистки» для определения и устранения вредоносных пакетов. Атака продлилась не более 8 минут после подключения Akamai и была свернута.
Представитель компании дает следующие пояснения по данной ситуации:
«Мы примерно представляли свои возможности, заранее смоделировав потолок нашей емкости, беря за основу известные истории крупнейшие атаки. По нашим расчетам мы могли спокойно выдержать нагрузку в 1,3 Тбит/с, были готовы к этому. Но, согласитесь, одно дело – статистика и расчеты и совсем другое – отражать подобную атаку в реальности, наблюдать за происходящим и получить подтверждение собственным расчетам. Это было впечатляюще, мы справились и то главное!».
До того происшествия рекордной считалась DDoS-атака, имевшая место в 2016 году, объектом которой был Dyn. Данная атака интересна в разных аспектах. Однако наиболее важный факт – собственная служба DNS, что и стало причиной глобальных последствий данной атаки. Упомянутая атака развивала скорость до 1,2 Тбит/с и стала спусковым крючком для волны недовольства в США, пострадавшие исчислялись тысячами.
Несмотря на очень близкие показатели объема, между упомянутыми DDoS -атаками есть очень важное, даже основополагающее различие. В случае с Dyn применялся ботнет – мощная сеть устройств, заранее пораженных. В случае с Github принцип был совершенно другой, ботнет не применялся, использовалась более современная и популярная методика memcaching.
Немного о Memcaching
Memcashed со своими серверами является системой кэширования, основная задача таких систем – упрощать и ускорять работы веб-ресурсов и сетей. На данный момент в Интернете существует около 100 тысяч серверов memcached. Как показывает практика, такое решение довольно спорное.
Хакеры смогли изменить IP-адреса жертвы. Отсутствие аутентификации позволяет хакерам формировать запросы небольшого объема, цель которых – получить ответ с превосходящим объемом ( размер ответа может превышать запрос в 50 раз). Это позволяет сформировать атаку с усилением.
Нападение на GitHub привело к тому, что многие провайдеров и частники рынка сетевой инфраструктуры пытаются максимально укрепить свои системы, стараясь защититься от все возрастающей популярности данного типа атак. Как следствие часть трафика от серверов memcached будет блокироваться.
О DDoS-атаках и их аспектах
Если рассматривать DoS-атаки в базовой плоскости, они представляют собой атаки типа «отказ в обслуживании». Основная отличительная черта – высочайшая скорость, призванная перегрузить систему и добиться от компьютера отсутствия ответа, отказа в доступе. Добиться данного эффекта можно, благодаря избыточным подключениям, множеству запросов и других данных, одновременно вызывающих систему. DDoS-атака позволяет достигать невероятной скорости, применяя одновременно множество интернет-соединений, а также устройств, производящих единовременную систематическую атаку. И данный метод только набирает популярность.
Представители «Лаборатории Касперского» сообщают, что объемы подобных атак растут в геометрической прогрессии, приобретая поистине колоссальный размах:
«Пандемия коронавируса, накрывшая мир в начале 2020 года – не единственная проблема. Однако данный вирус потряс и мир сетевых атак, включая активное развитие современных, мощных DDoS-атак. Вопреки ожиданиям, и прогнозам, которые были разработаны в прошлом году DDoS-атаки существенно выросли не только в количественном, но и качественном объеме. Количество интернет-нападений выросло в 2 раза, по сравнению с аналогичным периодом в прошлом году. Еще одна проблема – атаки стали еще более продолжительными по времени: причем возрастает, как среднее время атаки, так и ее максимальная продолжительность. Активизация рынка DDoS-атак, как правило, приходится на начало каждого года, однако в 2020 столь стремительного прогресса интернет-атак никто не ожидал».
Imperva в июне 2020 года опубликовала отчет с указанием индекса киберугроз, по их данным в мае компания подверглась 7 мощных атакам, продолжительность которым достигала 6 дней – это один из абсолютных показателей! Все, упомянутые в отчете атаки превышали объем в 150 000 запросов в секунду (RPS). Этот показатель еще больше подчеркивает невероятные объемы задействованной мощи при атаках, длительностью в 5 – 6 дней. По данным представителе компании эти две длиннейшие атаки насчитывали 28 тыс. уникальных IP-адресов.
Около 3/4 всех DDoS-атак приходится на следящие направления:
- Сфера новости (более 35%)
- Сфера бизнеса (около 25%)
- Финансовая сфера ( около 20%).
Осталось разобраться с географическим вектором атак. Как показывает статистика, лидер среди стран по количеству исходящих из территории атак – Китай (более четверти всех атак были родом и Китая), на втором месте – США (15%) и Филиппины ( чуть менее 7%).
Как оценить мощность DDoS-атаки
Анализ мощности DDoS-атак и их сравнение усложняется разными параметрами оценки, что мы уже наблюдали и в этом материале тоже. Атаки, как правило, измеряются двумя разными путями: с акцентом на пропускную способность, которая оценивается в битах в секунду (бит/с), или с акцентом на скорость пересылки, измеряется в пакетах в секунду (PPS). Способ оценки влияет на конечные данные в определении мощности атаки и ее последствий.
- В первом случае, показатели демонстрируют объем данных, передаваемых через соединение.
- Во втором случае, оценивается количество пакетов, которые обрабатываются устройствами.
Определяет типы DDoS-атаки
Методы атак разнообразны, разделяются на несколько видов: с усилением (NTP, SSDP и DNS, т. д.), атака-наводнения (как пример - UPD, SYN), фрагментация IP, а также атаки нулевого дня. Вид измерения атак зависит от области фокусировки и может происходить в пакетах в секунду, запросах в секунду или битах в секунду.
Методики проведения DDoS-атак разнообразны и направлены на разрушения служб по различным векторам. Это существенно затрудняет изучение, оценку и систематизацию DDoS-атак. Каждая компания применяет удобный ей вариант изменения и оценки, так Cisco оценивает и рассматривает DDoS по трем векторам: объемные, прикладные и низкоскоростные. Компания Imperva идет другим путем, предлагая свою классификацию
- Атака пакетов в секунду с фокусировкой на TCP / IP. Суть в следующем – чем большее количество пакетов отправлено, тем дольше системы не сможет ответить, потребуется огромное количество ресурсов и времени. Полная перегрузка систем развязывает хакерам руки. Основная масса данного типа атак – с применением фрагментированных пакетов или SYN-потоков. Также встречаются атаки «ping of death».
- Атака с гигабитами в секунду отличается объемным характером чаще всего применяет бот-сеть с тысячами пользовательских устройств интернета вещей. Основная задача – «задавить» систему жертвы запросами DNS-сервера. Как результат, подлинный трафик не обрабатывается.
- Атака RPS – запросы в секунду, определяется запросами, сделанных приложением. Она работает с пограничным сервером.
Атака, которая когда-то считалась самой крупной за всю историю DDoS-атакой, теперь становится обычным явлением. Исследования Imperva показывают, что их компания видит DDoS-атаки, которые превышают 500 гигабит в секунду примерно каждую неделю. В мае 2020 года Imperva сообщила, что ее служба защиты от DDoS «обнаружила и ослабила 9 массовых Атака «запрос в секунду» (RPS) Атака «запрос в секунду» (RPS) DDoS-атак против наших клиентов» и что одна из самых последних атак достигла пика в 652 миллиона пакетов в секунду.
Хотя эту высокую частоту атак на пакеты можно считать новой нормой, она не делает тенденцию менее удручающей.
Преобразование скорости в пакеты – это возможно?
Как утверждают представители компании Imperva способы измерения мощности атаки «скорость и пакеты» - понятия, которые невозможно конвертировать одно в другое для адекватного сравнения. Причина сложности данного преобразования заключается в следующем: нет определенного способа для усредненного измерения сетевых пакетов – они отличаются слишком разными размерами, могут передавать с различной скоростью и с применением различных интерфейсов. Получается, что определить даже примерно, сколько пакетов может включать мегабит или гигабит – невозможно, ведь изначально не известен размер такого пакета.
Cisco пытался найти определенный способ оценки пакетов для их преобразования, результат примерно следующий:
«Чтобы рассчитать показатели пакетов в секунду p/s, сначала нужно преобразовать имеющиеся биты в байты. (напоминаем, 1 к 8) Далее нужно рассчитать количество байтов каждого пакета. При том сам размер пакета может быть нефиксированным. Однако напомним, существует минимальный и максимальный объем пакета.»
Мы поделились базовыми знаниями и понятиями об атаках, а также рассказали о крупнейших из известных на данный момент DDoS-атак, однако появилось это понятие не вчера и даже не позавчера, так что давайте оглянемся на историю, рассмотрев в хронологическом порядке наиболее известные и крупные атаки, начиная с 2014 года.
ТОП крупнейших атак DDoS
Давайте рассмотрим ТОП известнейших в истории атак, которые оспаривали титул лидера. В подборке собраны крупнейшие происшествия за последние 6 лет, что позволяет оценить возрастающий масштаб и серьезность атак. Поехали!
2014
Жертва - Occupy Central, гонконгский ресурс, направленный на демократизацию процесса голосования. Атака набирает скорость в 500 Гбит/с, производится с применением ботсетей. Кроме озвученного ерсурса пострадали новости Apple и несколько других систем.
2015
GitHub подвергается мощной атаке с политическим уклоном, направленной против проектов, призванных обойти китайскую интернет-ценцензуру.
2016
Осенью атака обрушивается на Dyn, скорость достигает рекордных на тот момент 1,2 Тбит/с. Результат – глобальное падение интернет-сети США и частичное блокирование работы сети в Европе. В процессе атаки был применен ботнет Mirai.
Еще одна атака в 2016 год была направлена против OVH, скорость достигла почти 1 Тбит/с. Применялся ботнет IoT-устройств, включая камеры видеонаблюдения и видеомагнитофоны пользователей.
2017
Атака накрывает Чешское статистическое управление, атака связывалась с парламентскими выборами в Чехии. Ресурсы volby.cz и volbyhned.cz приостановили работу на период подсчета голосов.
Хостинг DreamHost подвергается атаке, направленной, скорее всего, на ресурс веб-сайт Nazi Daily Stormer.
Тотальным и регулярным атакам во второй половине года подвергается популярная на тот момент RPG-игрушка Square Enix Final Fantasy XIV. В атаках применяется принцип ботнета, они повторяются регулярно с нарастающей мощностью.
2018
В начале весны сеть потрясает тревожное сообщение NETSCOUT об угрозе атаки глобального трафика Arbor ATLAS. Скорость атаки достигает 1,7 Тбит/с, удается частично погасить и смягчить ее последствия.
В феврале происходит упомянутая уже ранее глобальная DDoS-атака на GitHub, которая являлась мощнейшей на тот момент, насчитывала скорость примерно в 1,35 Тбит/с (что отвечает, по расчетам, примерно 130 млн. PPS). Происходит на счет Memcashed с подделкой IP-адресов. Запросы небольшого размера, в итоге, инициируют массовый ответ, превосходящий запросы в 50 раз.
2019
Imperva информирует общественность, о крупнейшей по их словам атаке, которую смогла предотвратить. Направлена она была на клиентов, ее скорость добиралась до 580 миллионов пакетов в секунду. Данная атака по сегодняшний день остается лидером в истории по объему пакета.
Imperva выдерживает еще одну мощнейшую DDoS-атаку, скорость которой достигает 500 миллионов пакетов в секунду.
2020
Amazon Web Services потрясает мир сообщением об атаке с крупнейшей в истории скоростью. По заверениям AWS, они заметили и подавили крупнейшую из известных DDoS-атаку UDP скорость которой показала рекордные 2,3 Тбит/с. Это безусловный лидер не только среди атак, которым подвергалась данная компания, но и в принципе по скорости считается мощнейшей из известных.
Есть интересные мысли или уточнения по вопросу DDoS-атак? Хотите поделиться собственными мыслями и мнением? Не стесняйтесь, нам интересен диалог, присоединяйтесь к дискуссии в комментариях.
Данная статья – перевод текста Патрика Ноэ, статья была опубликована в 2018 году и прошла два обновления, включая изменения, внесенные Кейси Крейном в 2019 году, а также добавления и реновации от 2020 года.
Спасибо за выбор emaro-ssl.ru! Если у вас есть какие-либо вопросы, пожалуйста, свяжитесь с нами по электронной почте support@emaro-ssl.ru, позвоните по телефону 8 800 555 14 99 или просто нажмите ссылку в правом нижнем углу этой страницы и свяжитесь с нами прямо сейчас. Вы также можете найти ответы на многие распространенные вопросы в разделе – Поддержка.
