Trendy w atakach DdoS - większe i bardziej złożone | Analiza F5 Labs

Liczba ataków Distributed Denial-of-Service nieznacznie spadła w 2021 r. (3%), jednak stały się one większe i bardziej złożone. Do IV kwartału 2021 r. Średni, zarejestrowany rozmiar ataku wynosił powyżej 21 Gb/s, czyli ponad czterokrotnie więcej niż poziom z początku 2020 r. W ubiegłym roku pobity został rekord największego dotąd zarejestrowanego ataku (1,4Tb/s).

Liczba ataków DDoS nieznacznie się waha w kwartałach, niemniej pewne jest, że stają się coraz większe – powiedział Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland. Zaobserwowaliśmy ten trend w zeszłym roku, wykorzystując dane z Silverline DDoS Protection[1].

Ataki stają się coraz większe

Większość ataków zarejestrowanych w 2021 r. obejmowała mniej niż 100 Mb/s. Największy w 2020 r. atak osiągnął 253 Gb/s, ale już w lutym 2021 r. było to 500 Gb/s, by pobić rekord wagi 1,4Tb/s w listopadzie ur. Wymierzony w klienta ISP/hostingu atak osiągnął maksymalną przepustowość  w ciągu zaledwie 1,5 minuty i trwał tylko cztery minuty, a wykorzystywał kombinację metod wolumetrycznych (odbicie DNS) i warstwy aplikacji (powodzie HTTPS GET).

Złożoność rośnie

Ataki wolumetryczne, które wykorzystują publicznie dostępne narzędzia i usługi do zalewania sieci, nadal były najczęstszą formą ataków DDoS w 2021 r. (59% wszystkich zarejestrowanych ataków). Odnotowały  niewielki spadek r/r z 66%. Przy czym rozpowszechnienie ataków DDoS typu protokołowego[2] i aplikacyjnego (+5% r/r) nieznacznie wzrosło.

Jeśli chodzi o konkretne metody ataków, nastąpiły znaczące zmiany w dystrybucji: ataki na zapytania DNS stały się bardziej powszechne (wzrost o 3,5% r/r), a wykorzystanie fragmentacji UDP spadło o 6,5%. Odbicie LDAP również zmniejszyło się o 4,6%, a odbicie DNS o 3,3%.

Obok zmian w typie ataku nadal występują silne ataki wielowektorowe, do jakich należał incydent 1,4 Tb/s wykorzystujący kombinację odbicia DNS i HTTPS GETS – powiedział Ireneusz Wiśniewski. Szczególnie widoczne było to na początku roku, kiedy ataki wielowektorowe znacznie przewyższały liczbę ataków jednowektorowych. Wymaga to od ochrony stosowania równolegle coraz więcej technik łagodzących i zapobiegających wyrafinowanym atakom odmowy usługi.

Usługi finansowe na celowniku

Bankowość, usługi finansowe i ubezpieczenia (BFSI) były w 2021 r. branżą najbardziej dotkniętą przez ataki DDoS – stanowiąc 25% ich całego wolumenu. Ataki na ten sektor stale rosną od początku 2020 r.

Natomiast sektor technologiczny w 2020 r na 4 miejscu za telekomunikacją i edukacją – razem 75% wolumenu. Takie sektory jak energia, handel detaliczny, opieka zdrowotna, transport i prawo, odnotowały w tym obszarze znikome oznaki ataków.

Mimo że liczba ataków nieznacznie spadła w 2021 r., problem DDoS nie maleje – powiedział Ireneusz Wiśniewski. Zarówno rozmiar, jak i złożoność tych ataków rosną, wymagając bardziej zwinnej i wieloaspektowej reakcji ze strony obrońców.

Nawet ataki, które trwają tylko kilka minut powodują przerwy w działaniu usług, co może mieć poważne konsekwencje i negatywnie wpłynąć na markę i organizację, o czym wiedzą cyberprzestępcy.

Wraz ze wzrostem wyrafinowania i różnorodności ataków DDoS organizacje będą stosować szeroką gamę środków ochrony przed nimi, w tym kontrole wyższego szczebla. Celem będzie inspekcja i ograniczenie ruchu docierającego do punktów końcowych. Obejmie to także dostawców usług zarządzanych, którzy mogą współpracować z wewnętrznymi zespołami bezpieczeństwa, dla zapobiegania atakom, jak i szybkiego działania łagodzącego atak będący w toku.

[1] Dane zebrane z F5 Silverline1 – opartej na chmurze platformy usług zarządzanych wykrywającej i łagodzącej ataki DDoS w czasie rzeczywistym

[2] Wynika ze zmiany wykorzystania protokołów. 27% ataków w 2021 r. wykorzystywało TCP, w porównaniu do 17% w poprzednim roku (wymagania bardziej złożonych ataków aplikacyjnych i opartych na protokołach)