"Лаборатория Касперского" о DDOS-атаках в 1 квартале

В минувшем квартале эксперты «Лаборатории Касперского» наблюдалиоживление на DDoS-арене: возросли и количество, и продолжительность атак, проводимых с ботнетов. Согласно данным компании, пики DDoS-активности пришлись на середину января и начало марта.

В период с января по март такие атаки были зафиксированы в 79 странах. Как и в предыдущем квартале, больше прочих от внимания дидосеров страдали Китай (59,42% инцидентов), США (17,83%) и Южная Корея, хотя доля последней снизилась

В отчетный период наблюдался возврат продолжительных (не менее 50 часов) атак. Квартальный рекорд по этому показателю составил 297 часов (более 12 суток). Однако подавляющее большинство инцидентов — 91,47% — продолжались 9 часов или менее.

Наиболее популярной техникой DDoS по-прежнему является SYN flood, доля которой за квартал несколько возросла и составила 57,3%. Вклад UDP, TCP и HTTP flood в общий мусорный поток уменьшился, а ICMP — возрос в два раза.

Атаки с отражением и усилением трафика (DrDoS), которые в конце прошлого года шли на спад из-за сокращения числа уязвимых сервисов (NTP, DNS), вновь обрели актуальность с появлением нового вектора — Memcached.

Со слов экспертов, в отчетный период им тоже довелось оказывать помощь в ходе новомодной DDoS с плечом. Однако расследование показало, что клиент — не мишень, а невольный пособник дидосеров: его канал связи был забит из-за того, что подключенный к Интернету memcached-сервер усердно генерировал мусорный поток, направляя его за пределы корпоративной сети.

Исследователям также довелось столкнуться со случаем использования протокола LDAP для усиления DDoS-трафика. По словам специалистов, этот сервис, как и Memcached, способен обеспечить высокий коэффициент усиления и, несмотря на ограниченное количество доступных LDAP-устройств, вполне может удовлетворять нуждам злоумышленников, вечно занятых поиском новых возможностей.

Вклад Linux-ботнетов в общий мусорный трафик, по оценке ИБ-компании, уменьшился до 66%, тогда как в конце прошлого года он составлял 71%. Наибольшую активность проявляли Xor и новые Linux-боты — Darkai (вариант Mirai) и AESDDoS.

Список стран по количеству С&C-серверов ботнетов по-прежнему возглавляют Южная Корея (30,92%), США (29,32%) и Китай (8,03%), хотя в Корее ситуация заметно улучшилась, а доли двух других лидеров, напротив, возросли. Россия (2,01%) за квартал опустилась на девятую строчку. Четыре участника выбыли из ведущей десятки (Канада, Турция, Литва и Дания), уступив место новичкам — Италии, Гонконгу, Германии и Великобритании.

с 10,21 до 8%. Десятку лидеров по числу DDoS замыкает Россия, показатель которой продолжает снижаться и по итогам первого квартала составил 0,76%.