Эволюция DDoS-атак

Несколько лет назад мы со смехом читали про «умные чайники», которые подключаются к ботнетам для участия в DDoS-атаках. В 2022 г., когда под атаками «ложились» сайты госкомпаний, федеральных СМИ и крупнейших банков, было уже совсем не до смеха. А начиналось все с невинных шалостей студентов более 20 лет назад…

Слишком много запросов

По данным американской аналитической компании Mordor Intelligence, к 2027 г. объем рынка защиты от DDoS-атак (частые обращения к атакуемому ресурсу, которые создают нештатную нагрузку и приводит к отказу системы) достигнет $5,14 млрд, увеличиваясь минимум на 18% ежегодно. Причина роста рынка – в постоянной эволюции DDoS-атак и, как следствие, в эволюции средств защиты от подобных атак. 

«Например, одна из мощнейших атак 2022 г. достигала пика потребления пропускной способности в 2,5 ТБ/с, в 2000-х такое было даже сложно вообразить, – рассказывает владелец российского решения по защите от DDoS-атак Servicepipe Даниил Бобрышев. – На заре становления DDoS-атак число устройств в ботнете исчислялось сотнями, сейчас же ботнеты, которые генерируют DDoS-атаки, набирают сотни тысяч устройств, а пропускная способность каждого устройства кратно выросла». 

Появились первые DDoS-атаки в начале 1990-х. По словам руководителя направлений WAF и Anti-DDoS компании «Ростелеком-Солар» Николая Рыжова, началом DDoS можно считать появление распределенных атак, когда впервые взломанные компьютеры в американских вузах начали использовать для генерации SYNflood (отправка большого количества запросов на подключение в предельно короткий срок). В 1996 г. произошла первая публичная атака на интернет-провайдера Нью-Йорка Panix Networks. «Сеть не разрешала рассылать рекламу своим пользователям – спамеры отомстили», – рассказывает Николай Рыжов.

Следующее громкое событие произошло в 2000 г., когда из-за атаки 15-летнего подростка буквально «легли» сайты крупных компаний: Yahoo!, Fifa.com, Amazon.com, eBay, CNN, Dell и др.

«Тогда же стали появляться первые специализированные решения по защите от интернет-атак – израильский Riverhead (его впоследствии купила Cisco Systems) и американский Arbor Network (выходцы из Университета Мичигана), – рассказывает основатель и СЕО Qrator Labs Александр Лямин. – Это были первые компании, которые сфокусировали свой бизнес именно на защите от DDoS-атак». Когда Cisco Systems купила Riverhead, это стало сигналом для всех: появилась новая ниша в информбезопасности, новый бизнес.

Первые облачные решения по защите от DDoS-атак появились также в начале 2000-х, указывает Лямин. «В первую очередь это Prolexic (его позже купила Akamai), а также два подражателя – BlackLotus и Dragonara, – отметил эксперт. – Что интересно, все три компании – выходцы из бизнеса онлайн-казино».

DDoS переходит все границы

До России DDoS-атаки докатились в начале 2000-х. По словам Николая Рыжова, начало 2000-х гг. в России стало временем расцвета выделенного широкополосного доступа в интернет. А для атак, которые генерируют очень много трафика, ключевая движущая сила – увеличение канальной емкости у интернет-провайдеров. Она определяет, сколько мусорного трафика можно доставить до своей жертвы.

«Развитие структуры национального сегмента интернета, развитие дата-центров, хостинг провайдеров, становление MSK-IX (крупнейшая российская точка обмена интернет-трафиком) – все это привело к увеличению возможности для DDoS-атак», – указывает Александр Лямин.

В 2003 г. был атакован крупнейший хостинг страны MasterHost, в 2004 г. – оператор связи «РТКомм».

Российские игроки начали активно покупать иностранные продукты. «То же решение от Cisco Systems поставили все крупнейшие игроки, также российские компании активно ставили продукты Arbor Network», – указывает Александр Лямин. Кстати, впоследствии на Олимпиаде в Сочи именно решения Arbor Network обеспечивали защиту от DDoS-атак, указал эксперт.

Следующей вехой стало появление в 2006 г. amplification-атак, т. е. атак с последовательным многократным усилением. При этом первой была атака на инфраструктуру глобальной сети интернет (на DNS-серверы), указывает Александр Лямин. Что интересно, американский СЕРТ предупредил о возможности подобных атак примерно за год – в 2005 г. В то же время шквал подобных атак начался лишь в 2013 г.

Еще один важный момент в истории DDoS-атак имеет не технологический, а социальный статус: эти атаки стали способом социального и политического протеста, появились первые хактивисты. «В подобных атаках участвовали добровольные участники ботнета, которые с помощью специальной утилиты подключали свои устройства к ботнет-сети, – поясняет Даниил Бобрышев. – Яркий пример таких атак – движение хакеров Anonymous. При этом расцвет DDoS-хактивизма происходил в 2007–2010 гг., рассказывает Николай Рыжков. Подобные атаки фиксировались во многих странах мира. «Во время российских выборов 2011 г., во время выборов в Госдуму также использовались такие методы, – отметил Александр Лямин. – Такие атаки несложны, часто используются как отвлекающий маневр для проведения более сложных атак».

2010 год стал началом истории отечественных решений по защите от DDoS – появилось первое российское решение. Это был проект «Индрик», разработанный «Лабораторией Касперского».

Ботом может стать каждый

2016 год стал началом эры атак с помощью интернет-видеокамер и прочих «умных кофеварок», смарт-телевизоров и иных бытовых устройств с выходом в интернет.

Тогда впервые был использован ботнет Mirai, в атаке было задействовано почти 150 000 устройств (умных видеокамер), скорость атаки достигала более 600 ГБ/с. Атака была совершена на веб-сайт журналиста Брайана Кребса после публикации статьи о группировках, которые продают услуги ботнетов для осуществления DDoS-атак. Поскольку хостер сайта отказался дальше бесплатно предоставлять свои услуги, сайт пришлось на некоторое время закрыть, пока не был найден новый хостер.

Аналитик исследовательской группы Positive Technologies Наталия Юшкова пояснила, почему злоумышленники сделали выбор в пользу IoT-устройств. «Такие устройства плохо защищены от взлома из-за отсутствия шифрования при подключении, неизмененных паролях по умолчанию и ПО без обновления», – отметила она.

«После того появления Mirai стало понятно, что возможности сетей операторов федерального уровня не могут эффективно им противостоять, не было возможности очищать трафик, прогоняя его через дата-центр, – отметил Александр Лямин. – Для высокоскоростных распределенных атак нужны были специализированные распределенные решения по защите от DDoS, с этого начался закат решений операторов».

Использование «умных чайников» в атаках не утратило своей актуальности и в наше время. По словам Даниила Бобрышева, в 2022 г. наблюдался существенный рост атак с использованием IoT-устройств. «Например, в 2022 г. хакеры взломали видеоплейер одного из онлайн-кинотеатров и встроили туда вредонос, – рассказывает Николай Рыжков. – Когда пользователи вечером включали кино, их устройства не только скачивали видео, но и отправляли большие объемы исходящего трафика, который управлялся хакерами и использовался для DDoS-атаки на сервис «Госуслуги».

«В 2022 г. злоумышленники внедрили коммерциализацию аренды ботнета для проведения атак в даркнете, – отмечает директор по развитию направления кибербезопасности «EdgeЦентр» Артем Избаенков. – Параллельно стала дешевле стоимость аренды VPS в облаках, появилась возможность платить за аренду мощной виртуальной машины только на момент проведения DDoS-атаки, т. е. для сбора своего ботнета нет больше необходимости использовать зараженные (взломанные) системы».

В 2018 г. был зафиксирован новый подвид атаки – memcached amplification. «Во время таких атак пропускная способность устройства отправителя возрастает в 50 000 раз, – указывает Даниил Бобрышев. – Именно тогда была зафиксирована атака скоростью 1,35 ТБ/с».

«Это стало апогеем высокоскоростных атак на полосу, они приобрели поистине астрономические размеры, – указывает Александр Лямин. – Впоследствии мир видел атаки на еще больших скоростях».

В 2021 г. случилось еще одно важное событие – мощнейшая атака на «Яндекс» с использованием домашних роутеров MikroTik. Это была атака на приложения – один из самых сложных, по словам экспертов, типов атаки, так как противодействие ей требует большого количества расчетов. Благодаря заражению устройств вредоносном удалось устроить атаку мощностью 21,8 млн запросов в секунду.

Уроки-2022

Прошлый, 2022 год в плане DDoS-атак стал феноменальным для рынка с точки зрения как количества, так и длительности атак. Раньше в СМИ рассказывали о единичных случаях успешных атак, весной прошлого года такие сообщения появлялись несколько раз в день.

Если ранее длительность атак измерялась минутами, то в 2022 г. – часами, а некоторые продолжались по несколько дней. «По данным Kaspersky DDoS Protection, в первой половине года самая долгая атака началась в мае и продолжалась почти 29 дней, но во втором полугодии этот рекорд был побит: атака длилась почти в 2 раза дольше, некоторые ресурсы находились под ударом практически непрерывно, – рассказывает эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов. – Это нехарактерно для DDoS, потому что очень дорого вести такую продолжительную атаку, возможна она лишь с участием хактивистов». «Специфика 2022 г. – рост числа атак на крупные финансовые и государственные организации, – рассказывает Даниил Бобрышев – При этом отличительной особенностью 2022 г. стал рост атак с использованием большого пула прокси-адресов (IP-адреса, через которые компьютер будет работать в интернете. – Ред.) с большой долей этих адресов на территории РФ, при этом адреса постоянно ротируются и меняются».

В результате DDoS-атак перебои наблюдались в работе сайтов Кремля, правительства РФ, Госдумы, Совета Федерации, практически всех федеральных и многих муниципальных министерств и ведомств, арбитражных судов России, были недоступны какое-то время СБП и портал «Госуслуг», «Роскосмоса», РЖД, кредитные организации. Кроме того, атакованы были и СМИ – как федеральные («Коммерсантъ», РБК, «Лента.ру», ТАСС, «РИА Новости»), так и региональные, а также сайты телевизионных каналов и т. д.

«2022 год явно показал: многие российские организации оказались не готовы к тому, что могут стать мишенью, – отмечает Дмитрий Галов. – И мы, и другие поставщики защиты от DDoS получили за короткий период времени огромное количество заявок от компаний, которые уже находились под атакой, вал новых клиентов перегрузил все сервисы защиты от DDoS в России».

«Можно увидеть явную тенденцию, что злоумышленники имеют полноценную инфраструктуру для проведения DDoS-атак на базе облачных ЦОДов, – указывает Артем Избаенков. – При этом хостеры, предоставляющие инфраструктуру, часто понимают, для чего используются их виртуальные серверы, но никак этому не препятствуют». И происходит это, в частности, из-за пробелов в законодательстве, так как нет четких законов, определяющих ответственность провайдеров за предоставление серверов для DDoS-атак, резюмировал эксперт.

Впрочем, по словам экспертов, уроки 2022 г. не прошли даром и сейчас все больше организаций задумывается о защите от интернет-атак, а работающие в этой сфере специалисты по информационной безопасности находят все новые способы им противостоять.

Эксперты отметили: хотя общее число атак в 2023 г. как минимум не растет, но это не повод расслабляться – атаки становятся все сложнее и изощреннее, противостоять им сложнее. Например, тривиальные методы защиты типа блокировки зарубежного трафика еще год назад могли работать, сейчас уже нет.

«В то же время прошлый год показал, что компаниям необходимо пересмотреть стратегии защиты от DDoS, минимум раз в полгода делать переоценку рисков, проводить учения, тестовые атаки, – рассказал Александр Лямин. – Пострадавшие от атак в прошлом году – это «двоечники», которые купили лет пять назад защитные решения и и даже не смотрели больше в эту сторону, а за этот период сменилось 3–4 поколения атак и привычные решения просто устарели».