Cloudflare предоставляет услуги интернет-безопасности: защиты от DDoS-атак, ускорения веб-сайтов и оптимизации интернет-трафика. Решения компании помогают организациям защищать свои интернет-ресурсы, обеспечивая стабильность и быстроту работы веб-сайтов, сервисов и приложений.

Встречайте очередной, уже 19-й, отчет Cloudflare о DDoS-угрозах. Ежеквартальные публикации компании предоставляют подробный обзор DDoS-угроз, которые были обнаружены в инфраструктуре Cloudflare. Сейчас мы поговорим о третьем квартале 2024 года.

Благодаря скорости сети в 296 Тбит/с, развернутой более чем в 330 городах мира, Cloudflare функционирует как обратный прокси для не менее 20% всех мировых веб-сайтов. Это обеспечивает уникальную возможность анализа и выявления существенных угроз в вебе.

BAKOTECH подготовила обзор основных моментов репорта с комментариями Максима Бормотова, Senior Partner Solutions Engineer, EMEA в Cloudflare.

Ключевые инсайты

• В течение третьего квартала 2024 года резко возросло количество DDoS-атак: Cloudflare нейтрализовала около 6 миллионов атак, что на 49% больше по сравнению с предыдущим кварталом и на 55% по сравнению с аналогичным периодом прошлого года.
• Более 200 из них были гиперобъемными атаками, превышавшими 3 Тбит/с или 2 млрд пакетов в секунду (Bpps). Максимальное значение достигло 4,2 Тбит/с, и это произошло за одну минуту.
• Наиболее атакованы — банковская сфера и финансовые услуги. Китай был основной мишенью для атак, а Индонезия стала самым большим источником DDoS-активности.

Какие цели преследуют киберпреступники, атакуя бизнесы и пользователей?

Максим Бормотов: “Это зависит от конкретного случая, но основная цель — сделать инфраструктуру недоступной для разрешенных пользователей или посетителей путем спама огромного количества запросов на цель. Иногда за DDoS могут скрываться более сложные атаки (например, вторжение в сеть или установка трояна/шпионского ПО).

Каждая минута простоя — это потерянные деньги. Представьте, что e-commerce веб-сайт недоступен — все клиенты будут пытаться найти товары или услуги в других местах”.

Типы и характеристики атак

Из 6 млн DDoS-атак половина пришлась на HTTP-уровень, а другая — на сетевой. Количество атак на сетевом уровне выросло на 51% по сравнению с предыдущим кварталом и на 45% по сравнению с этим периодом год назад. HTTP-атаки увеличились на 61% от предыдущего квартала и на 68% по сравнению с 3 кварталом в прошлом году. Большинство атак были кратковременными, но некоторые продолжались более часа (около 3% общего количества).

Цели DDoS-атак

Регионы, подвергшиеся большинству атак

В третьем квартале 2024 года Китай стал самой популярной целью DDoS-атак. На втором месте оказались Объединенные Арабские Эмираты, третье занял Гонконг. Далее в списке следуют Сингапур, Германия и Бразилия.

Седьмую позицию заняла Канада, а за ней расположились Южная Корея, Соединенные Штаты и Тайвань.

Чаще всего атакованные индустрии

В третьем квартале 2024 года наибольшее количество DDoS-атак было нацелено на сектор банковских и финансовых услуг. На втором месте оказался сектор информационных технологий и услуг, а за ним – телекоммуникационная отрасль, включая провайдеров и операторов связи.

Секторы криптовалют, Интернета, азартных игр и казино, а также гемблинг занимают следующие позиции среди наиболее атакованных.

Гиперобъемные атаки

В первой половине 2024 года Cloudflare автоматически заблокировала 8,5 млн DDoS-атак, из которых 4,5 млн произошли в первом квартале и 4 млн во втором. В третьем квартале добавилось еще 6 млн атак, доведя общее количество до 14,5 млн или в среднем до 2200 атак в час. Среди них более 200 были гиперобъемными, с пиками 3,8 Тбит/с и 2,2 млрд пакетов в секунду.

Cloudflare продолжает отражать массивные атаки, в том числе рекордную атаку 21 октября 2024 года мощностью 4,2 Тбит/с, длившуюся около минуты.

Векторы атак

В 3 квартале наблюдалась равномерность в распределении атак на сетевом и прикладном уровнях. Самыми популярными из них были SYN-флуд, DNS-флуд, UDP-флуд, атаки с использованием SSDP- и ICMP-отражения.

72% HTTP DDoS-атак совершили известные ботнеты, они автоматически блокировались благодаря собственной эвристике Cloudflare. Еще 13% атак удалось отбить посредством анализа подозрительных HTTP-атрибутов, а 9% атак происходили через фейковые браузеры. 6% других атак были направлены на конечные точки и кэш.

По сравнению с прошлым кварталом на 4000% увеличилось количество атак с использованием SSDP-амплификаторов (Simple Service Discovery Protocol). Важно знать, что злоумышленники активно использовали протокол UPnP (Universal Plug and Play) для запуска DDoS-атак. Они отправляли SSDP-запросы на уязвимые устройства с поддержкой UPnP и меняли IP-адрес источника на IP-адрес жертвы.

Устройства посылают на IP-адрес жертвы большое количество трафика, перегружая инфраструктуру. Эффект усиления позволяет злоумышленникам генерировать огромный трафик по небольшим запросам, что переводит сервис жертвы в офлайн.

Отключение UPnP на неиспользуемых устройствах помогает защититься от такого типа атак.

Каковы последствия для бизнесов, сеть которых не защищена от DDoS-атак? Сколько они теряют за час простоя?

Максим Бормотов: “Потеря дохода, проблемы соблюдения требований (например, GDPR, PCI DSS 4.0), репутация бренда, дополнительный контроль со стороны регуляторных органов. По оценкам Gartner, одна минута простоя стоит большинству компаний $5600 или более $300 000 в час”.

Пользовательские агенты, используемые в HTTP DDoS-атаках

Запуская HTTP DDoS-атаки, киберпреступники стремятся слиться с нормальным трафиком, чтобы остаться незамеченными. Одной из их стратегий является подделка пользовательского агента. Это позволяет выдавать трафик за легитимный браузер или другое клиентское приложение.

В третьем квартале 80% трафика HTTP DDoS-атак маскировались под браузер Google Chrome, который стал наиболее распространенным пользовательским агентом во время этих атак. Чаще злоумышленники использовали версии Chrome 118, 119, 120 и 121.

На втором месте – 9% трафика HTTP DDoS-атак, у которых не было указанного пользовательского агента.

На третьем и четвертом местах обнаружены атаки с использованием Go-http-клиента и агента fastttp. Go-http является стандартным HTTP-клиентом в библиотеке языка Go, а fastttp – высокопроизводительная альтернатива. Он применяется для создания быстродействующих веб-приложений, но также часто используется в DDoS-атаках и веб-скрепинге.

Пятое место занимает агент hackney, являющийся HTTP-клиентской библиотекой для языка Erlang. Она активно используется для отправки HTTP-запросов в экосистемах Erlang/Elixir.

На шестом месте среди пользовательских агентов, замеченных в DDoS-атаках, был HITV_ST_PLATFORM. Этот агент связан со смарт-телевизорами или телевизионными приставками. Обычно злоумышленники избегают малораспространенных агентов пользователя, предпочитая популярные, такие как Chrome. Поэтому присутствие HITV_ST_PLATFORM, вероятно, свидетельствует о том, что некоторые смарт-телевизоры или приставки были скомпрометированы.

На седьмом месте в рейтинге оказался агент пользователя uTorrent, принадлежащий популярному клиенту BitTorrent, используемому для обмена файлами.

Замыкает список пользовательских агентов в DDoS-атаках okhttp. Хотя okhttp является известным HTTP-клиентом для Java и Android-приложений, его использование в DDoS-атаках было минимальным.

Атрибуты HTTP-атак

Хотя 89% трафика HTTP DDoS-атак использовали метод GET, он в целом является наиболее распространенным методом HTTP. Поэтому когда мы нормализуем трафик атак, разделив количество запросов на общее количество запросов для каждого HTTP-метода, картина изменяется.

Приблизительно 12% всех запросов с использованием метода DELETE относятся к HTTP DDoS-атакам. После DELETE наиболее часто в атаках использовались методы HEAD, PATCH и GET.

Также стоит отметить, что 80% запросов для DDoS-атак поступало через HTTP/2, а 19% – через HTTP/1.1. Однако после нормализации общего трафика по версиям доля этих запросов в общей массе значительно уменьшается. Если рассматривать атаку в контексте нормализованного трафика для каждой версии, большая часть из-за нестандартной или ошибочно указанной версии «HTTP/1.2» оказалась вредной и принадлежала к DDoS-атакам. При этом следует отметить, что HTTP/1.2 не является официальной версией протокола.

В чем преимущество решений Cloudflare по защите от DDoS-атак – объясняет Максим Бормотов:

• Современная распределенная архитектура. Cloudflare имеет глобальную сеть, пропускная способность которой 296 Тбит/с.
• Масштабная аналитика угроз. Более 20% веб-трафика проходит через прокси-серверы Cloudflare, что позволяет предотвратить 206 млрд кибератак ежедневно. Вовлеченные вендором модели машинного обучения способствуют созданию новых правил в кибербезопасности.
• Простые в использовании и экономически эффективные решения. Вы можете получить неограниченную и безлимитную защиту от DDoS-атак, которая является простой в развертывании. Дополнительные расходы по защите трафика отсутствуют.

Источники DDoS-атак

Субъекты угрозы

80% респондентов заявили, что не знают, кто именно их атаковал, тогда как 20% были в курсе, кто стоит за нападениями. Среди знающих своих обидчиков 32% указали, что это были вымогатели. Еще 25% отметили, что атаки инициировали конкуренты, а 21% — что нападение было от недовольных клиентов или пользователей. Кроме того, 14% респондентов отметили государственные или финансируемые государством организации, а 7% признались, что стали жертвами собственных действий. Один из примеров такой ситуации — когда из-за обновления прошивки устройства Интернета вещей одновременно начинают передавать данные, создавая высокую нагрузку на сеть.

Несмотря на то, что наиболее распространенными субъектами угрозы остаются вымогатели, общее количество DDoS-атак с целью выкупа уменьшилось на 42% по сравнению с предыдущим кварталом, но выросло на 17% по сравнению с аналогичным периодом в прошлом году. В общей сложности 7% опрошенных заявили, что сталкивались с атаками с требованием выкупа или угрозами причинить вред. В августе этот показатель поднялся до 10%, то есть, каждый десятый респондент получал угрозы.

Основные страны-источники DDoS-атак

В третьем квартале 2024 года наибольшее количество DDoS-атак происходило из Индонезии. На втором месте оказались Нидерланды, за ними следуют Германия, Аргентина и Колумбия. В следующую пятерку вошли Сингапур, Гонконг, Россия, Финляндия и Украина.

Основные сети-источники DDoS-атак

К крупнейшим источникам HTTP DDoS-атак в третьем квартале 2024 принадлежал немецкий IT-провайдер Hetzner (AS24940). На втором месте — Linode (AS63949), облачная платформа, принадлежащая компании Akamai с 2022 года. Третье место занимает провайдер из штата Флорида Vultr (AS64515).

Netcup (AS197540), другой немецкий провайдер, занял четвертое место, а Google Cloud Platform (AS15169) — пятое. Шестую позицию занимает DigitalOcean (AS14061), далее следуют французский OVH (AS16276), Stark Industries (AS44477), Amazon Web Services (AS16509) и Microsoft (AS8075).

Как интеграция технологии ИИ в решение Cloudflare улучшает эффективность защиты от DDoS-атак?

Максим Бормотов: “Модели машинного обучения постоянно учатся на последних атаках, разворачивая средства защиты без необходимости создания правил вручную ML обучается на трафике атак, обнаруженных в сети Cloudflare.

Сочетание AI/ML с традиционными правилами на основе сигнатур является примером того, как интеллектуальные системы могут поддерживать работу людей. ИИ выявляет новые вредные нагрузки, которые могут быть использованы аналитиками для оптимизации правил. Это обеспечивает лучшие обучающие данные для моделей искусственного интеллекта и улучшает общую защиту и время реагирования WAF.

Cloudflare использует модель искусственного интеллекта для учета специфических характеристик трафика клиента, чтобы лучше обнаруживать отклонения от нормального и безопасного трафика”.

Выводы

В 3 квартале 2024 года Cloudflare зафиксировала большой рост гиперобъемных DDoS-атак, где пиковые значения достигали 3,8 Тбит/с и 2,2 Тбит/с. Это отражает подобную тенденцию к прошлому году, когда атаки на прикладном уровне в рамках кампании HTTP/2 Rapid Reset превысили 200 млн запросов в секунду (Mrps). Такие масштабные атаки способны оказать серьезное влияние на интернет-ресурсы, особенно облачные сервисы с ограниченными возможностями пропускной способности или локальные решения.

Использование мощных ботнетов увеличивается из-за геополитической напряженности и глобальных событий, а круг организаций, которые попадают под угрозу DDoS-атак, становится больше. К сожалению, многие предприятия внедряют защиту от DDoS-атак только после того, как атака уже нанесла серьезный ущерб.

Наблюдения подтверждают, что компании, которые имеют хорошо разработанные и комплексные стратегии безопасности, намного более устойчивы к таким киберугрозам. Благодаря значительным инвестициям в автоматизированные средства защиты и надежный набор продуктов безопасности, Cloudflare гарантирует проактивную защиту от текущих и новых угроз — таким образом вам не нужно беспокоиться об этом.

Облако подключения Cloudflare защищает целые корпоративные сети, помогает клиентам эффективно разрабатывать приложения масштаба Интернета, улучшает скорость работы веб-сайтов и онлайн-приложений, защищает от DDoS-атак, сдерживает хакеров и поддерживает вас на пути реализации концепции нулевого доверия.