DDoS-атаки и BGP-инциденты второго квартала 2021
Отчёты

Второй квартал 2021 года был ожидаемо намного тише, чем первый по количеству DDoS-атак, так как речь идет о поздних весенних и ранних летних месяцах: апреле, мае и июне, когда деловая активность успокаивается по всему миру. Тем не менее, во время чемпионата Европы по футболу в июне-июле некоторая атакующая активность имела место, но сосредоточилась в основном на азартной индустрии.


Итак, мы с удовольствием раскрываем вам доступные подробности о DDoS-атаках и BGP-инцидентах второго квартала 2021 года.

Тройку основных векторов атак во втором квартале составили UDP-флуд, на долю которого пришлось более половины атак за Q2 - 53,04%, зачем IP-флуд с 13,84% и, наконец, SYN-флуд, на который пришлось 11,9% эпизодов за данный квартал.


По сравнению со статистикой первого квартала, где треть всех атак приходилась на IP-флуд, во втором квартале он поменялся местами с UDP, а доля UDP-флуда существенно выросла. Теперь три основных “чистых” вектора это: UDP, IP и SYN-флуд, на которые приходится 78% ото всех DDoS-атак второго квартала.


Наиболее крупный смешанный вектор - комбинированный UDP- и IP-флуд во втором квартале составил лишь 6,6% от общего числа атак, упав с 11,37% в первом квартале.

Во втором квартале медианное время атаки составило 270 секунд, что близко к нашим наблюдениям за прошлый 2020 год, когда этот показатель равнялся 300 секундам. Это также означает, что по сравнению с Q1 медианное время атаки выросло значительно - со 180 секунд.


Среднее время атаки выросло еще существеннее - с ~700 секунд в Q1 до почти 2к секунд во втором квартале, увеличившись почти трехкратно.


Глядя на разные перцентили, мы видим, что большая продолжительность атаки была почти универсальным правилом для атак второго квартала 2021 года. По сравнению с первым кварталом, во втором даже самые короткие атаки удвоились в продолжительности.

Как мы уже упоминали, с первого на второй квартал 2021 года изменилось распределение векторов атак. UDP-флуд вырос на 23%, IP-флуд упал на 17%, SYN-флуд на ~2,5% и TCP-флуд на 4%. Все атаки, которые составляли три последних вектора полгода назад, теперь переключились на утилизацию вектора UDP-флуда.

Здесь мы можем взглянуть на длительность отдельных векторов атак. Как всегда, в этой статистике балом правит UDP с максимальным временем атаки в десять с половиной часов. Помимо этого, показательной метрикой является среднее время атаки для каждого вектора - и здесь мы наблюдаем, что UDP-флуд превосходит диаграмму средней продолжительности с 2250 секундами или 37,5 минутами. Однако средняя продолжительность SYN-флуда ненамного меньше - 23,6 минут. Средняя длительность атак использующих TCP-флуд и IP-флуд намного меньше - <10 минут и ~13 минут соответственно.

SYN-флуд показывает самый низкий средний битрейт среди всех векторов атаки - в среднем за второй квартал это 514 Мбит/с. И, наоборот, IP-флуд демонстрирует самый высокий средний битрейт - почти 14 Гбит/с.


Как и в прошлый раз, мы хотим увидеть как ежеквартально изменяется средняя полоса атаки.


Средняя пропускная способность всех DDoS-атак, которые мы предотвратили в четвертом квартале 2020 года: 4,47 Гбит/с.
Средняя пропускная способность всех DDoS-атак, которые мы предотвратили в первом квартале 2021 года: 9,15 Гбит/с.
И та же метрика во втором квартале 2021 года: 6,5 Гбит/с.


Впечатляет, особенно учитывая что почти во всем мире май и июнь можно считать отпускными месяцами. А с увеличением продолжительности атаки это еще более тревожная, хотя и ожидаемая тенденция.

Опять же, с точки зрения пакетной интенсивности, UDP-флуд был очевидным фаворитом во втором квартале. Хотя с точки зрения среднего, вектор TCP-флуда почти в 4 раза интенсивнее любого другого.


И максимальное значение в 165,5 MPPS у UDP-флуда было достигнута на вполне обычной битовой интенсивности в 200 Гбит/с.

Интервал 10-100 Гбит/с получает все больше и больше атак в обоих кварталах 2021 года, что подразумевает значительный рост средней и минимальной битовой интенсивности атак. Сейчас более ⅓ всех атак приходится на сегмент 10-100 Гбит/с. по сравнению с 15% в 2020 году.

Промо-страницы, на которые приходится большая часть DDoS-атак в нашей статистике, могут представлять практически любую отрасль бизнеса, поэтому обычно мы не обращаем внимания на сегмент “Promo”, даже если он содержит почти четверть всех атак за второй квартал. Мы считаем, что это связано с тем, что проводятся активные маркетинговые меры по продвижению таких страниц (реклама), а DDoS-атаки исторически были эффективны в качестве меры нерыночной конкуренции.


Кроме того, мы видим, что доля атак в электронной коммерции со временем только растет, на этот раз на 1% по сравнению с предыдущим кварталом.

Количество уникальных автономных систем которые участвовали в перехватах или утечках маршрутов BGP немного снизилось во втором квартале по сравнению с первым, хотя количество участников в отдельно наблюдаемых месяцах почти не изменилось. Кроме этого, в мае и июне количество перехватывающих автономных систем значительно выросло по сравнению с предыдущими месяцами. Так, май стал первым месяцев, когда количество уникальных автономных систем создававших перехваты превысило 10 тысяч.

Количество отдельных инцидентов, связанных с перехватом или утечкой маршрутов также выросло по сравнению с первым кварталом. Почти десять миллионов утечек маршрутов во втором квартале - значительная цифра, которая будет разве что увеличиваться в отсутствие значительных мер по их предотвращению. Количество перехватов оказалось сопоставимо с первым кварталом 2021 года.


Теперь давайте посмотрим на глобальные инциденты, которые являются частью этой статистики за каждый месяц внутри квартала. Напоминание: команда Qrator.Radar имеет набор определенных пороговых значений, отделяющих глобальные инциденты ото всех остальных. Они включают количество затронутых префиксов, автономных систем и степень распределения аномалии по таблицам маршрутизации.


Глобальные утечки маршрутов BGP
Апрель: 0
Май: 1
Июнь: 3
 
Подробное описание этих инцидентов можно найти по дате в Twitter-ленте Qrator.Radar.

Глобальные перехваты трафика с помощью BGP
Апрель: 1
Май: 1
Июнь: 1

Спасибо за внимание.