В последние годы размах и изощрённость DDoS-атак вышли на качественно новый уровень: мощность — до 3,94 Тбит/с, продолжительность — от нескольких часов до недель. Что привело к таким результатам и чего ждать от этой киберугрозы в будущем?
- Введение
- 2007 год: кибератака на Эстонию
- 2009 год: атака на Кыргызстан
- 2013 год: атака на Spamhaus
- 2014–2015: атаки на Гонконг и GitHub
- 2015–2016: атаки ботнета Mirai
- 2017 год: терабитные атаки Memcached
- 2020 год: рекордная атака на AWS и Google
- 2021–2022: атаки ботнетов Meris и Mantis
- Кибератаки 2022–2023: рекорды длительности
- Выводы
Введение
Распределённые атаки типа «отказ в обслуживании» (DDoS) — настоящий бич цифровой эпохи. С каждым годом они становятся всё изощрённее и мощнее, ставя новые пугающие рекорды. DDoS-атаки представляют серьёзную угрозу для компаний, организаций и даже целых государств, парализовывая работу критически важных систем и нанося огромный финансовый ущерб.
Проследим эволюцию угрозы на примере самых громких инцидентов последних лет. Масштабы и сложность DDoS-атак неуклонно растут, а злоумышленники применяют всё более совершенные методы и инструменты. Так, в 2016 году была зафиксирована рекордная на тот момент атака мощностью 1 Тбит/с, направленная против французского хостинг-провайдера OVH. Уже в 2018 году этот рекорд был побит: GitHub подвергся атаке на 1,35 Тбит/с.
Киберпреступники активно используют ботнеты из заражённых устройств интернета вещей (IoT), число которых стремительно растёт. Гигантские ботнеты, такие как Mirai и его многочисленные варианты, способны генерировать колоссальный трафик и эффективно обходить традиционные средства защиты. Кроме того, всё чаще применяются атаки на уровне приложений и против определённых уязвимостей в ПО.
Давайте подробно рассмотрим наиболее значимые DDoS-атаки в хронологическом порядке, уделяя внимание деталям, последствиям и извлечённым урокам.
2007 год: кибератака на Эстонию
Одной из первых громких DDoS-операций, привлёкших внимание мировой общественности, стала атака на государственные сайты, СМИ и банки Эстонии в апреле 2007 года. Небольшая прибалтийская страна, известная развитым «электронным правительством», оказалась неготовой к масштабному киберудару.
Атака длилась около двух недель, она полностью парализовала онлайн-инфраструктуру страны и нанесла серьёзный ущерб экономике. Эксперты оценили трафик DDoS на пике как превышающий 90 Мбит/с, что было очень существенно по тем временам.
Кибератаку связали с дипломатическим конфликтом вокруг памятника советским воинам в Таллине. Кремль открестился от произошедшего, но следы, как утверждается, вели в российский сегмент интернета. Этот инцидент некоторые считают первым случаем кибервойны против целого государства.
2009 год: атака на Кыргызстан
В январе 2009 года Кыргызстан стал жертвой полномасштабной DDoS-атаки, продолжавшейся более недели. «Под раздачу» попали сети ведущих интернет-провайдеров, сайты госорганов и СМИ, включая крупнейший информационный портал республики.
Кибератака началась вскоре после того, как власти объявили персонами нон грата и выслали из страны двух российских дипломатов. Как и в случае с Эстонией, Москва заявила о непричастности, но в определённых кругах почти не было сомнений по поводу того, что DDoS стал инструментом большой геополитики.
2013 год: атака на Spamhaus
Некоммерческий проект Spamhaus, занимающийся борьбой со спамом и ведущий чёрные списки спамеров, оказался под прицелом в марте 2013 года. Мощная DDoS-атака типа «DNS Amplification», организованная хостинг-провайдером CyberBunker, обрушила серверы Spamhaus по всему миру.
На пике кибератаки трафик достигал 300 Гбит/с — абсолютного рекорда на тот момент. Последствия ощутил весь интернет: серьёзно пострадала лондонская точка обмена трафиком LINX, замедлилась работа многих магистральных каналов связи.
Атака показала, что даже крупный игрок с передовой защитой уязвим перед лицом целенаправленного «флуда» с использованием брешей в популярных протоколах (в данном случае — DNS).
2014–2015: атаки на Гонконг и GitHub
Летом 2014 года под удар DDoS попало движение Occupy Central в Гонконге. Правозащитный сайт PopVote, симулятор онлайн-выборов, подвергся многодневной атаке с пиковой мощностью около 500 Гбит/с. Использовались сразу пять ботнетов, маскировавших трафик под легитимные запросы.
В 2015 году мощную атаку пережил крупнейший сервис для разработчиков GitHub. Из китайского сегмента интернета исходил паразитный трафик со многочисленными запросами в отношении двух программных проектов, нацеленных на обход правительственных интернет-ограничений. GitHub устоял, но с большим трудом.
Распространялись утверждения, что за обеими атаками стоят китайские власти, стремящиеся заглушить инакомыслие в Гонконге и за его пределами, использующие DDoS как орудие цензуры и подавления свободы слова.
2015–2016: атаки ботнета Mirai
Настоящей «звездой» DDoS-сцены в 2015–2016 годах был ботнет Mirai, собранный из сотен тысяч уязвимых устройств интернета вещей: видеокамер, бытовых роутеров и т. д. Публикация исходного кода Mirai положила начало множеству атак рекордной мощности.
Первой громкой жертвой Mirai стал блог журналиста Брайана Кребса (KrebsOnSecurity), освещавшего тему киберпреступности. В сентябре 2016-го он столкнулся с потоком трафика свыше 620 Гбит/с и с трудом устоял. Более серьёзно пострадал крупный французский хостер OVH: пиковая мощность атаки против него достигла 1 Тбит/с.
Но подлинным апофеозом стал «разнос» провайдера DNS-услуг Dyn в октябре того же года. Кибератака мощностью 1,5 Тбит/с обрушила Dyn и вместе с ним лишила доступа в интернет десятки миллионов людей, в том числе пользователей Twitter, Netflix и CNN. Экономический ущерб превысил сотни миллионов долларов.
Уроки Mirai: незащищённые IoT-устройства — бомба замедленного действия; утечка исходников ботнета ведёт к тиражированию и появлению всё более мощных «клонов»; DDoS против DNS-провайдеров может парализовать огромные сегменты интернета.
2017 год: терабитные атаки Memcached
Очередной прорыв в мощности DDoS произошёл в конце 2017 года с появлением атак на основе Memcached. Используя уязвимость в популярной системе кеширования, хакеры научились усиливать свои атаки в десятки тысяч раз.
Крупнейший зафиксированный инцидент — кибератака на GitHub в марте 2018 года. На пике фиксировался трафик объёмом в 1,7 Тбит/с — абсолютный рекорд на тот момент! Примечательно, что 1,35 Тбит/с трафика было сгенерировано всего за 10 минут атаки.
Не меньше пострадал и сервис Arbor Networks — под натиском флуда мощностью 1,7 Тбит/с он полностью «лёг». Финансовый ущерб от простоя глобально используемых облачных платформ был астрономическим.
2020 год: рекордная атака на AWS и Google
Очередной печальный рубеж был взят в 2020 году. В феврале флагманский облачный сервис Amazon Web Services пережил атаку мощностью 2,3 Тбит/с — новый мировой рекорд. Использовался метод отражения по протоколу CLDAP с рекордным коэффициентом усиления (×70).
Но и этот рекорд продержался недолго. Уже в октябре 2020-го Google Cloud раскрыл сведения о нейтрализации атаки с пиковой мощностью в 2,54 Тбит/с. Трафик шёл со 180 000 скомпрометированных серверов по всему миру. Атака продолжалась полгода (!), но благодаря современным системам защиты не нанесла существенного ущерба.
2021–2022: атаки ботнетов Meris и Mantis
В 2021 году мировую индустрию кибербезопасности потрясла серия рекордных по интенсивности DDoS-атак. В августе ботнет Meris установил новую планку в 21,8 млн запросов в секунду (RPS), атакуя сразу множество целей — от неназванного клиента Cloudflare до российского «Яндекса».
В июне 2022 года отметился ботнет Mantis, сгенерировавший чудовищные 26 млн RPS. Атака длилась всего 30 секунд, но стала абсолютным рекордом в категории атак уровня приложений (L7). Примечательно, что большинство запросов исходило не от IoT-устройств, а от мощных серверов в публичных облаках.
Кибератаки 2022–2023: рекорды длительности
Ещё один пугающий рубеж покорился хакерам совсем недавно. В июле 2022 г. Qrator Labs зафиксировала кибератаку длительностью почти трое суток (!). «Под раздачу» попали серверы логистической компании, обслуживающей аэропорты. Атака велась сразу по нескольким векторам.
Другой случай беспрецедентной длительности — атака на сеть ресторанов фастфуда в сентябре того же года. DDoS длился более 22 часов и вошёл в пятерку сильнейших по интенсивности трафика (свыше 100 Гбит/с). Мотивом атаки, видимо, стало желание навредить в разгар маркетинговой кампании.
Не меньшее беспокойство вызывает рост популярности DDoS-атак с вымогательством. Хакеры парализовывают сайт «демоверсией» атаки, а затем требуют выкуп за отказ от продолжения. Одна из жертв такой схемы — крупнейшая криптобиржа Binance, атакованная в феврале 2023 года.
Таким образом, всего за пять-семь лет DDoS-атаки выросли по мощности на порядок — с сотен гигабит до единиц терабит в секунду. Появились атаки-«рекордсмены» длительностью в десятки часов и даже несколько суток. DDoS стал опасным инструментом геополитики, ущерб от него измеряется миллиардами долларов.
Что ждёт нас в будущем? Увы, позитивных сценариев немного. Развитие интернета вещей, сетей 5G, облачных платформ даёт хакерам всё новые инструменты для организации гигантских ботнетов, а утечки исходных кодов и распространение киберпреступных услуг (DDoS-as-a-Service) делают этот вид атак всё более доступным.
Противостоять угрозе могут только передовые комплексные системы защиты, использующие искусственный интеллект, машинное обучение и распределённую высокопроизводительную инфраструктуру фильтрации трафика. Каждый владелец онлайн-бизнеса должен рассматривать защиту от DDoS как обязательную часть стратегии кибербезопасности.
Впрочем, даже самые совершенные технические средства не смогут полностью искоренить DDoS без усилий правоохранителей и дипломатов. Ведь за многими кибератаками стоят искусно маскирующиеся криминальные группировки и целые государства, действующие через посредников (прокси). Бороться с ними — задача международного сообщества.
Выводы
Итак, подведём итоги. За последнее десятилетие DDoS-атаки превратились из досадной помехи в катастрофическую угрозу, способную парализовать огромные сегменты интернета и нанести многомиллиардный ущерб. Появились «атаки-монстры» мощностью в десятки терабит и миллионы запросов в секунду.
Злоумышленники эксплуатируют всё новые уязвимости в протоколах и программных продуктах (DNS, NTP, CLDAP, Memcached и др.), используют для атак гигантские армии заражённых IoT-устройств, серверов и облачных платформ. DDoS стал грозным оружием в руках криминала и недружественных государств.
Противостоять кибератакам сегодня можно только общими усилиями, сочетая передовые средства сетевой защиты, бдительность владельцев онлайн-активов, эффективную работу киберполиции и системное ужесточение законодательства на международном уровне. Насколько это возможно в нынешних непростых геополитических реалиях — большой вопрос.
В любом случае расслабляться не стоит. DDoS никуда не денется, а значит, мировому ИТ-сообществу придётся и дальше инвестировать огромные ресурсы в защиту от кибератак.
