Цивилизация
Усиление киберудара
Киберпреступники начали использовать новый метод DDoS-атак, который потенциально в сотни раз сильнее, чем самые мощные атаки, зарегистрированные в настоящее время. Об этом говорится в исследовании CDN-провайдера Akamai, сообщает ArsTechnica.
Специалисты обнаружили, что атаки начали достигать скорости 11 Гбит/с и 1,5 млн пакетов в секунду. Впервые этот тип атаки описали еще почти год назад исследователи кибербезопасности из США.
Согласно их данным, существует целое множество неправильно сконфигурированных серверов — более 100 тыс. единиц, каждым из которых можно пользоваться в преступных целях. Именно таким образом злоумышленники способны усилить DDoS-атаки.
Эти серверы, также известные как промежуточные блоки, обычно создаются государствами и используются для цензуры нежелательного контента, блокировки пиратского контента, порнографии или сайтов с азартными играми.
Неправильная конфигурация заключается в том, что серверы нарушают протокол управления передачей. По правилам требуется трехэтапная проверка перед установлением соединения. У этих серверов она не проводится.
Усиление работает путем подмены IP-адреса цели и пересылки небольших объемов данных на неправильно настроенный сервер. В итоге сервер отправляет в сотни раз большие по объему пакеты данных, что приводит к сбоям в работе ресурса.
По словам исследователей, такая тактика позволяет добиться усиления DDoS-атаки в десятки и даже тысячи раз. В Akamai подсчитали, что метод усиливает атаку минимум в 54 раза, а максимум — в 51 тыс. раз.
Специалисты из Akamai пояснили, что злоумышленники уже научились нацеливать сервера в своих целях. По их словам, в первую очередь атаки будут направлены на сайты банков, туристических организаций, игровых компаний, СМИ и других медиа-компаний, а также компании, обеспечивающих хостинг сайтов.
Сервер на службе у хакеров
Новые методы амплификации различных протоколов и использующих их устройств для DDoS-атак появляются постоянно, рассказал «Газете.Ru» CEO и сооснователь ИБ-компании StormWall Рамиль Хантимиров.
«В интернете есть десятки тысяч устройств, которые предназначены для фильтрации контента, и они имеют широкое подключение к интернету и достаточно высокую производительность ввиду своей функции. Это безусловно, является угрозой того, что эти устройства могут использоваться для осуществления или усиления DDoS-атак», — отметил специалист.
Хантимиров привел для «Газеты.Ru» данные о том, что его компания фиксировала атаки, которые превосходят 1 Тбит/с на постоянной основе. По его словам, такая мощность является катастрофой для большинства даже самых крупных провайдеров.
«Мы уже прогнозировали, что в 2022 году увидим атаки объемом 2,5-3 Тбит/с. Из-за той обстановки, которая сложилась сейчас в мире, количество DDoS-атак увеличилось в сотни раз, и вполне возможно, что они выйдут за пределы 3 Тбит/с», — констатировал эксперт.
Ведущий исследователь Akamai Кевин Бок считает, что возникновение таких атак было лишь «вопросом времени».
«Эти атаки просты и очень эффективны. Хуже всего то, что атаки новые. В результате у многих операторов еще нет средств защиты, что делает этот способ гораздо более привлекательным для злоумышленников», — констатировал специалист.
По словам Хантимирова, что именно будет использоваться в качестве амплификатора — менее важный вопрос. Специалист отметил, что в данном методе усиленной DDoS-атаки есть и плюс — их, как правило, логически легче фильтровать.
«Нужны большие мощности для фильтрации, нужны большие канальные емкости, но не нужны большие вычислительные ресурсы», — добавил он.
По словам эксперта, число амплификаторов, то есть устройств для усиления атак, конечно, а протокол для атаки понятен системе. В связи с этим запросы, идущие с целью DDoS-атаки, можно блокировать по простым признакам.
Специалист уточнил, что наибольшую опасность представляют атаки, которые являются не только мощными, но и сложными. На данный момент фиксируются атаки, которые легко обходят механизмы DDoS-защиты и требуют постоянной доработки инструментов их вычисления, заключил Хантимиров.