rss_feed
calendar_today 22 августа 2024 г. 12:09
DDoS-атаки, боты и BGP-инциденты за второй квартал 2024 года: статистика и тренды
Qrator

Основные факты и выводы

  • Во втором квартале 2024 года мы не наблюдали появления каких-либо принципиально новых векторов DDoS-атак. Все методы, которые сейчас используют злоумышленники, уже хорошо нами изучены и успешно нейтрализуются.
  • В количестве атак также не зафиксировано значительных изменений. Причина этой стабильности состоит в том, что в последнее время не было каких-либо серьезных триггеров, которые могли бы резко поменять конъюнктуру (как это было, к примеру, в 2020 году после массового перехода на удаленную работу).
  • Наибольшая доля L3-L4 DDoS-атак во втором квартале 2024 года была направлена на сегмент Онлайн-букмекеры — более 12% от всех атак за период. Этот всплеск активности мы связываем с Чемпионатом Европы по футболу.
  • Кроме того, на Онлайн-букмекеров пришлись самые мощные DDoS-атаки за отчетный период: как на уровнях L3-L4 (более 450 Gbps), так и на уровне L7 (более 1,5 миллионов rps).
  • Также был зафиксирован аномальный рост количества L3-L4 DDoS-атак на сегменты Государственные ресурсы и Транспорт и логистика.
  • Наибольшее число L7 DDoS-атак во втором квартале 2024 года было направлено на сегмент Банки — более 32% от всех атак за период.
  • Самые длительные L7 DDoS-атаки были зафиксированы в сегментах Телеком-операторы и Платежные системы - атаки длились более двух суток.
  • Бот-активность во втором квартале была высокой, но стабильной, без серьезных всплесков. Максимальное количество бот-атак пришлось на сегмент Онлайн-ритейл — 40% от всех заблокированных запросов.
  • Общее количество инцидентов BGP осталось примерно на том же уровне, что и кварталом ранее. При этом число глобальных инцидентов BGP даже заметно снизилось.

DDoS-атаки на сетевом и транспортном уровне (L3-L4)

Напоминаем, что начиная с первого квартала 2024 года мы модифицировали методологию сбора данных, чтобы учесть рост пропускной способности каналов и объема атак. Теперь мы отсекаем все инциденты с интенсивностью менее 1 Gbps (настолько незначительные атаки мы считаем "белым шумом") — это помогает сконцентрироваться на значимых событиях.
Во втором квартале 2024 года распределение атак по вектору заметно изменилось по сравнению с первым кварталом. Лидирующую позицию здесь заняли одновекторные TCP flood атаки, которые отвечают почти за половину всех L3-L4 атак — 48,91%. На втором месте с большим отставанием расположился IP fragmentation flood с долей 22,43%. Третье место занимает UDP flood, на который пришлось 9,66% атак.

На четвертом месте находятся мультивекторные атаки UDP+IP fragmented flood, их доля составляет 9,35%. И, наконец, пятое место также занимают мультивекторные атаки, UDP+TCP+IP fragmented flood, с долей 2,49%.


Общая доля мультивекторных атак во втором квартале составила 17,76%, что несколько меньше, чем в первом — но все еще значительно больше, чем в 2023 году. Напомним, что мы связываем это с увеличением доступных мощностей, которое дает атакующим возможность организовывать большое количество мультивекторных атак.

Защищаться от подобных атак сложнее, поэтому мультивекторные атаки могут чаще достигать своих целей — особенно если речь идет о незащищенных или частично защищенных инфраструктурах. Это способствует их популярности у атакующих.
Если говорить о чистых векторах атаки, то они во втором квартале распределились следующим образом:

Продолжительность L3-L4 атак

После крайне высоких показателей, показанных в предыдущем отчетном периоде, продолжительность атак в этом квартале упала даже ниже уровня 2023 года. Средняя продолжительность атак достигла лишь 40 минут, а продолжительность атак без учета пиковых показателей (то есть по 90-му перцентилю) составила всего-навсего 12,5 минуты.

Интенсивность L3-L4 атак

Что касается интенсивности L3-L4 атак, то после нескольких ударных кварталов здесь наблюдалось затишье и возврат на уровень чуть выше второго квартала прошлого года. Максимальный битрейт был зафиксирован во время TCP flood атаки на сегмент Онлайн-букмекеров — 450,52 Gbps. По всей видимости, это связано с Чемпионатом Европы по футболу.

На втором месте расположилась атака IP fragmentation flood на сегмент Онлайн-образование — ее интенсивность составила 244,32 Gbps. Полная статистика пропускной способности атак по различным векторам выглядит следующим образом:

  • TCP flood: 450,52 Gbps
  • IP fragmented flood: 244,32 Gbps
  • UDP flood: 172,08 Gbps
  • ICMP flood: 29,91 Gbps
  • SYN flood: 22,39 Gbps

Если говорить об исторических данных за 2021–2024 годы, то вторые кварталы традиционно характеризуются некоторым снижением пикового объема атак, особенно ярко это проявляется последние два года. Интересно, что во вторых кварталах на передний план уже три года подряд выходит TCP flood, тогда как в остальные периоды чаще всего лидирует UDP flood.

2021 Q2: пиковый объем 574,71 Gbps — IP fragmented flood
2022 Q2: пиковый объем 520,18 Gbps — TCP flood
2023 Q2: пиковый объем 333,78 Gbps — TCP flood
2024 Q2: пиковый объем 450,52 Gbps — TCP flood

Соотношение максимальной интенсивности атак в пакетах в секунду значительно отличается от интенсивности в битах в секунду. Во втором квартале 2024 года первую позицию занял SYN flood (63,61 Mpps), за ним следуют IP fragmented flood (53,97 Mpps) и TCP flood (47,13 Mpps).

  • SYN flood: 63,61 Mpps
  • IP fragmented flood: 53,97 Mpps
  • TCP flood: 47,13 Mpps
  • UDP flood: 41,41 Mpps
  • ICMP flood: 3,64 Mpps


Распределение L3-L4 атак по индустриям

Наибольшее количество атак во втором квартале 2024 года произошло на сегменты Финтех (25,35%), Электронная коммерция (17,01%) и ИТ и Телеком (13,89%). Из аномалий можно отметить резкий рост числа атак на сегменты Государственные ресурсы и Транспорт и логистика — доли этих сегментов от общего числа зафиксированных нами атак выросли на 890% и 340% соответственно.

Что касается микросегментов, то пятерка лидеров выглядит следующим образом: Онлайн-букмекеры (12,85%), Онлайн-ритейл (12,15%), Банки (10,42%), Программное обеспечение (10,42%) и Платежные системы (9,03%). Опять-таки, первое место микросегмента Онлайн-букмекеры по количеству атак мы связываем с Чемпионатом Европы по футболу.

Распределение L3-L4 атак в сегментах по продолжительности

Как уже было сказано выше, во втором квартале не было поставлено каких-либо рекордов по продолжительности L3-L4 атак. Самая длительная непрерывная атака произошла на сегмент сегмент Медиа, ТВ, радио и блогеры (13,01 часа). На втором месте атака на сегмент Платежные системы (7,08 часа). На третьем — на сегмент Онлайн-букмекеры (1,01 часа).

Распределение L3-L4 атак в сегментах по интенсивности

Атаки с максимальной интенсивностью во втором квартале 2024 года произошли в сегментах Онлайн-букмекеры (450,52 Gbps), Онлайн-образование (244,32 Gbps) и Банки (206,7 Gbps). Хотя рекордов поставлено не было, следует отметить рост количества атак с битрейтом >100 Gbps. Если в прошлом квартале такие атаки затронули семь микросегментов, то в этом — уже девять: помимо упомянутой выше тройки лидеров это Программное обеспечение, Телеком-операторы, Медиа, Общественное питание, Государственные ресурсы и Аэропорты. На десятом месте находится сегмент Платежные системы с интенсивностью 99,87 Gbps.


Что касается максимальной интенсивности атак по пакетам в секунду, то здесь достаточно необычно выглядит первое место — его занял сегмент Государственные ресурсы (63,61 Mpps). На втором месте расположился сегмент Онлайн-букмекеры (53,97 Mpps), а замыкает тройку лидеров Онлайн-образование (23,03 Mpps).


Самый большой ботнет

Самый большой ботнет, замеченный нами во втором квартале, был несколько крупнее рекорда первого квартала: он состоял из 60 500 устройств (против 51 400 устройств в Q1).
Данный ботнет использовался во время атаки на сегмент Банки, которая произошла 25 мая. Устройства, входившие в ботнет, были зафиксированы в 8 странах: Великобритании, США, Румынии, Польше, Австрии, Бразилии, Канаде и Франции.

DDoS-атаки на уровне приложений (L7)

Во втором квартале 2024 года количество DDoS-атак на уровне приложений (L7) снизилось примерно на 20% по сравнению с тем же кварталом прошлого года. Это продолжает тренд, который мы отметили в предыдущем квартальном отчете.
Тройка наиболее популярных классов атак остается без изменений уже четвертый квартал подряд. Наибольшую долю занимают атаки класса Request Rate Patterns (32,79%), которые характеризуются частотой запросов, отличающейся от ожидаемого поведения легитимного пользователя. На втором месте (25,71%) атаки с необычным набором заголовков в запросе — класс Rotating Client Secondary Attributes. На третьем месте мультиклассовые атаки Multiple Matching Criteria (14,0%).

Распределение L7 атак по индустриям

Среди атакованных секторов выделяется сегмент Финтех, доля которого стабильно растет на протяжении пяти кварталов и уже второй квартал подряд составляет более половины от всех DDoS-атак на уровне приложений — 56,8%. Из финансовых организаций чаще всего атакуют Банки (32,17% от общего числа атак), Платежные системы (10,17%) и Микрофинансовые организации (5,03%).
На втором месте по количеству атак расположился сегмент Электронная коммерция (13,84%) — его доля, наоборот, снижается уже третий квартал подряд. Напомним, что во втором квартале 2023 года это был наиболее атакуемый сегмент, на который приходилась треть атак L7. Наконец, на третьем месте находится сегмент ИТ и Телеком (7,79%), доля которого также снижается уже четвертый квартал.

"Горячая пятерка" микросегментов, которые чаще всего становятся жертвами атак на уровне приложений выглядит следующим образом: впереди с большим отрывом Банки (32,17%), за которыми следуют Онлайн-ритейл (10,9%) и Платежные системы (10,17%). Замыкают пятерку Онлайн-образование (6,7%) и Микрофинансовые организации (5,03%).


Продолжительность и интенсивность L7 атак по индустриям

Если количество атак во втором квартале 2024 года заметно снизилось, то их качество существенно выросло. В апреле произошли сразу две атаки, длительность которых составила более двух суток. Первая атака была нацелена на сегмент Телеком-операторы — ее длительность составила более 49 часов. Вторая атака была направлена на Платежные системы и продолжалась 48 с небольшим часов.

То же относится и к интенсивности атак — во втором квартале наблюдалось значительное количество атак на уровне приложений с высоким уровнем запросов в секунду. Интересно, что все пять атак с наибольшим пиковым rps пришлись на сегмент Онлайн-букмекеры:
Самая мощная из них достигала в пике 1,56 миллионов rps и продолжалась 34,5 минуты.
Вторая имела мощность 677 тысяч rps и длилась всего 2,5 минуты.
Третья произошла через сутки после второй и была очень похожа по характеристикам: 645 тысяч rps и продолжительность 2,5 минуты.
В тот же день произошла еще одна атака с 424 тысячи rps и продолжительностью 42,5 минуты.
Наконец, пятая атака имела мощность 302 тысячи rps и длилась 18 минут.

Помимо этого, во втором квартале произошли еще 6 атак с пиковым rps выше 200 тысяч — четыре на сегмент Банки и еще две на сегмент Онлайн-букмекеры. Как и в предыдущих случаях, данный всплеск активности в сегменте Онлайн-букмекеры мы связываем с Чемпионатом Европы по футболу 2024 года.

Во втором квартале 2024 года максимальное количество устройств, задействованных в одной L7 DDoS-атаке, составило 286 622 — это была атака на сегмент Банки.

Географическое распределение источников атак

Во втором квартале 2024 года впервые за несколько кварталов произошли изменения в тройке стран, которые являются основными источниками вредоносного трафика. На первом месте по-прежнему Россия с 22,03% от всех заблокированных IP-адресов. Второе место за США (18,32%), доля которых заметно выросла по сравнению с предыдущими периодами.
А вот на третьем место в этот раз разместилась Бразилия с 4,79%. Эту позицию долгое время занимал Китай. Однако во втором квартале 2024 года его доля резко снизилась (2,23%) и он занял лишь 10-е место.


Среди стран, которые вошли в топ-10, заметно нарастили свои доли Сингапур (4,44%) и Великобритания (3,79%). Доля Германии наоборот ощутимо снизилась (3,21%). Замыкают десятку лидеров страны, доли которых остались примерно на уровне предыдущего квартала: Индия (3,04%), Нидерланды (2,66%) и Франция (2,51%).

Статистика защиты от ботов

Во втором квартале 2024 года мы не наблюдали значительного роста атак ботов по сравнению с первым кварталом: количество заблокированных запросов ботов выросло примерно на 5% и cоставило 5 310 773 744. Максимальное количество атак было зафиксировано в мае, но в целом в этом квартале активность была распределена по месяцам равномерно.


Во втором квартале 2024 года боты чаще всего атаковали следующие сегменты: на Онлайн-ритейл пришлось 40% всей бот-активности, а на Онлайн-букмекеров — 12,7%. Сегмент Банки покинул хит-парад из-за продолжения снижения его доли. Также серьезное количество бот-активности приходится на сегменты Недвижимость (7,4%) и Аптеки (6,4%).

Крупнейшая бот-атака второго квартала произошла 29 мая и была направлена на сегмент Логистика. Всего в рамках нейтрализации этой    атаки было заблокировано 20 021 633 запросов. Это примерно на 10% меньше рекорда прошлого квартала.

В тот же день, 29 мая, произошла и самая быстрая атака квартала: она была направлена на Онлайн-ритейл, а ее пиковая скорость составила 17 500 запросов в секунду — это на 75% меньше рекорда, поставленного в предыдущем периоде.

Если говорить о распределении бот-атак по типам, то во втором квартале подавляющее большинство обращений происходило к веб-страницам. Доля такой активности резко выросла по сравнению с предыдущими периодами и достигла 75%. Мы подозреваем, что это может быть связано со сбором данных для тренировки ИИ-моделей.


В целом бот-активность во втором квартале была достаточно высокой, но стабильной, без серьезных всплесков. В частности, за второй квартал мы не зафиксировали ни одной действительно интенсивной бот-атаки (то есть с количеством запросов в секунду от 20 000 и выше).

Вероятно, в третьем квартале мы можем увидеть еще более интенсивную активность в сегменте Онлайн-ритейл, связанную с сезоном распродаж.

Количество уникальных автономных систем (АС), которые во втором квартале 2024 года совершали BGP Route Leaks, практически не изменилось по сравнению с первым кварталом: 3 044 (против 3 017 кварталом ранее).
При этом несколько снизилось количество АС, которые осуществляли BGP Hijacks: если в первом квартале их было 15 000, то во втором лишь 13 626.

Одной из возможных причин BGP Route Leaks является перестройка сетевых архитектур, например, в процессе поглощения организаций. Причем такие инциденты могут происходить как умышленно (специфичная, возможно, временная конфигурация сети на период "перестройки"), так и случайно, по ошибке сетевых инженеров. 

Как мы уже неоднократно отмечали, снижение в основном связано с повсеместным внедрением валидации на основе RPKI ROA.

Глобальные инциденты BGP

Команда Qrator.Radar имеет набор определенных пороговых значений, отделяющих глобальные инциденты BGP от всех остальных. Они включают количество затронутых префиксов, автономных систем и степень распределения аномалии по таблицам маршрутизации.

Количество глобальных утечек маршрутов BGP во втором квартале снизилось вдвое по сравнению с первым: с 12 до 6.
Глобальный перехват трафика с помощью BGP во втором квартале произошел всего один раз, 25 мая. При этом в апреле мы не зарегистрировали ни одного глобального инцидента BGP.

Глобальные BGP Route Leaks   Глобальные BGP Hijacks
0 Апрель 0
2 Май 1
4 Июнь 1

Из интересных инцидентов можно отметить крупную утечку маршрутов, произошедшую буквально за день до вышеупомянутого перехвата трафика, 24 мая. В результате этой утечки, виновником которой был бразильский провайдер Megatelecom, образовалось 5 333 конфликта с 593 АС из 68 стран мира. Эта утечка стала следствием объединения сетевых инфраструктур, происходящих в процессе поглощения Megatelecom другого бразильского провайдера, InterNexa Brasil.

Выводы

  • Атакующих по-прежнему привлекает эффективность мультивекторных DDoS-атак: их доля (17,76%) несколько снизилась по сравнению с Q1, но по-прежнему значительно выше, чем в прошлом году.
  • Наибольшая интенсивность L3-L4 атак была зафиксирована в сегменте Онлайн-букмекеры. Это был TCP flood с битрейтом 450,52 Gbps, что опять-таки существенно ниже рекорда прошлого квартала (881,75 Gbps). Всплеск активности в сегменте Онлайн-букмекеры мы связываем с Чемпионатом Европы по футболу.
  • Наибольшее количество L3-L4 атак пришлось на макросегмент Финтех (25,35%). Из микросегментов чаще всего атаковали Онлайн-букмекеров — на него пришлось 12,85% от всех атак.
  • Произошел аномальный рост количества L3-L4 атак на сегменты Государственные ресурсы и Транспорт и логистика: доли этих сегментов резко выросли (+890% и +340%) по сравнению с предыдущим кварталом.
  • По интенсивности L3-L4 атак наиболее высокие показатели были зафиксированы в микросегментах Онлайн-букмекеры (450,52 Gbps), Онлайн-образование (244,32 Gbps) и Банки (206,7 Gbps).
  • Также отметим, что количество L3-L4 атак с битрейтом более 100 Gbps ощутимо выросло по сравнению с прошлым кварталом.
  • Количество L7 атак во втором квартале снизилось, но при этом серьезно выросло их качество. Произошло 11 атак, интенсивность которых превышала 200 тысяч rps и целых две атаки, которые длились более двух суток — 49 и 48 с небольшим часов.
  • Кроме того, зафиксирована серия мощных атак на уровне приложений (L7) на сегмент Онлайн-букмекеры — самая серьезная из них в пике достигала 1,56 миллионов rps. Эту серию атак мы опять-таки связываем с Чемпионатом Европы по футболу.
  • При этом наибольшее количество L7 DDoS-атак пришлось на макросегмент Финтех, доля которого стабильно растет уже пять кварталов и достигла 56,8%. Среди микросегментов лидируют Банки с долей 32,17% от всех атак L7.
  • Тройка стран-лидеров среди источников L7 DDoS-атак впервые за много кварталов изменилась: впереди по-прежнему Россия (22,03%) и США (18,32%), а вот на третьем месте разместилась Бразилия (4,79%). Доля Китая, который традиционно брал "бронзу" резко снизилась (2,23%), так что он занял лишь 10-е место.
  • Бот-активность во втором квартале была высокой, но стабильной, мы не наблюдали в ней значительных всплесков. Общее количество заблокированных запросов выросло примерно на 5% по сравнению с прошлым кварталом.
  • Наибольшее количество атак во втором квартале пришлось на сегменты Онлайн-ритейл (40%) и Онлайн-букмекеры (12,7%). Мы прогнозируем дальнейший рост активности в этих сегментах в третьем квартале.
  • Количество инцидентов BGP осталось примерно на том же уровне, что и кварталом ранее. При этом число глобальных утечек маршрутов BGP, затронувших большое количество стран, снизилось вдвое по сравнению с прошлым кварталом – с 12 до 6.