DDoS-атаки: итоги 2024

Цель исследования — определить основные типы атак, которым подвергались компании, и их распределение по отраслям и по типам в 2024 году.

Несмотря на снижение интенсивности атак на телеком-операторов в III квартале, по итогам 2024 года эта отрасль осталась самой атакуемой – на нее пришлось 36% DDoS. К концу года возросло количество атак на ИТ-компании, которые занимают второе место с показателем 21%. Также DDoS-атакам подвергаются компании госсектора (14%), сферы услуг (11%) и финансовые организации (9%).

В 2024 году половина DDoS-атак (49%) на сетевом и транспортном уровнях (L3 и L4) была связана с протоколом TCP (TCP_ack — 36%, TCP_syn — 10%, TCP_rst — 3%). Второе место традиционно занял флуд (UDP-атаки, 22%), а на третьем оказались атаки с усилением (16%), среди которых наиболее заметны DNS_amplification (9%), L2TP_amplification (3%) и NTP_amplification (2%). Пик атак с использованием IP фрагментации пришелся на середину года, и в итоге доля этого типа DDoS составила 9%.

Сервисы телекоммуникационных и ИТ-компаний ‒ стали традиционными для DDoS-атак, поэтому игроки этого рынка уделяют много внимания их предотвращению. Кроме того, в течение всего года с высоким уровнем угроз сталкивались организации государственного сектора. Это свидетельствует как о развитии государственных электронных сервисов, так и о привлекательности кибератак на них для злоумышленников. Кроме нарушения работы госсервисов, злоумышленники могут использовать DDoS-атаки для маскировки других незаконных действий, включая хищение или подделку данных.

Низкие показатели атак на промышленный сектор (5%) и образование (4%) связаны преимущественно с ограниченной доступностью электронных сервисов в этих областях. Однако доля атак на образовательные учреждения практически сравнялась с промышленным сектором. Это указывает на необходимость уделять больше внимания защите своих сервисов, включая меры противодействия DDoS-атакам и другим видам киберугроз.

Распределение атак по типу показывает, что основной вектор атак злоумышленников сфокусирован скорее на сервисах, чем на истощении каналов передачи данных. Например, большое количество TCP_ack пакетов характерно при атаках на веб-ресурсы, также для атак на сервисы используются DNS-атаки с усилением. Атаки через протокол GRE (с долей 2%) подтверждают тенденцию к усложнению механики DDoS и использованию многовекторных подходов.

Борьба с DDoS становится комплексной задачей, требующей вовлечения не только конечных атакуемых узлов, но и всей цепочки — от телеком-операторов до компаний-поставщиков и потребителей ИТ-сервисов.

В материале использованы следующие термины:

TCP-атаки – атаки через сетевой протокол TCP:

• TCP ACK – атака с использованием большого количества TCP-пакетов, которые подтверждают получение сообщения или серии пакетов

• TCP SYN – отправка в открытый порт сервера массы SYN-пакетов, не приводящих к установке реального соединения по тем или иным причинам

• TCP RST (TCP-reset) – атака, при которой злоумышленник разрывает соединение между двумя жертвами, отправляя одной или обеим фальшивые сообщения с командой прервать соединение

UDP-флуд – атака, которая провоцирует перегрузку сетевых интерфейсов, занимая всю полосу пропускания трафика.

L2TP amplification – атака усиления на L2TP (от англ. Layer 2 Tunnelling Protocol – протокол туннелирования второго уровня), используемый при создании VPN-соединений.

IP fragmentation – атака основана на рассылке чрезмерного количества фрагментированных IP-пакетов, она перегружает вычислительную мощность и ресурсы атакуемой системы.

DNS amplification – атака усиления, когда к имеющему уязвимость серверу DNS (от англ. Domain Name System, система доменных имен) отправляется поддельный запрос о домене, а его ответ значительного размера высылается серверу-жертве, в результате канал связи переполняется ответами.

NTP amplification – атака усиления, использующая уязвимость в протоколе NTP с целью переполнения сервера UDP трафиком.

GRE Floods – это разновидность «атаки с усилением». GRE (Generic Routing Encapsulatio, общая инкапсуляция маршрутов) – это туннельный протокол, который инкапсулирует различные сетевые протоколы в пакеты Internet Protocol. При атаке GRE Floods на уязвимые устройства посылаются GRE-пакеты с поддельным IP-адресом жертвы, в результате чего устройства отправляют на адрес жертвы значительно больший объем ответа, что приводит к истощению ресурсов на стороне атакуемого.