Китайская компания подверглась DDoS-атаке мощностью 470 Гбит/с

Специалисты по кибербезопасности из компании Imperva рассказали, что в середине июня 2016 года им довелось наблюдать весьма необычную DDoS-атаку, ставшую самой мощной из всех атак, с которыми им приходилось иметь дело. Жертвой неизвестных хакеров стала китайская компания, занимающаяся азартными играми.

Злоумышленники направили на серверы компании поток трафика, мощностью до 470 Гбит/с и использовали для реализации атаки девять различных векторов.

Атака началась 14 июня 2016 года, и для начала хакеры продемонстрировали мощность 250 Гбит/с. Одно лишь это уже сделало бы атаку одной из наиболее мощных DDoS-атак в принципе, но злоумышленники не стали останавливаться на достигнутом. Постепенно наращивая мощность, хакеры добились мощности 470 Гбит/с, которая затем постепенно затухала на протяжении получаса. Суммарно атака продлилась четыре часа, пишет xakep.ru.

Исследователи Imperva пишут, что атака была очень сложной, так как злоумышленники использовали сразу девять различных типов пакетов. Подобная «запутанность» не свойственна DDoS-атакам: такое наблюдается лишь в 0,2% случаев.

Рассматриваемый инцидент начался с SYN-пакетов, а затем их сменили пакеты TCP/UDP. Эксперты отмечают, что обычно злоумышленники меняют один тип пакетов на другой, с целью не дать обороняющейся стороне уклониться от атаки. В данном случае все обстояло именно так, но потом атакующие вдруг сменили тактику и перешли на использование пакетов меньшего размера. Их целью было повышения количества пакетов в секунду. В результате, в пиковый момент атаки ее мощность составляла 110 млн пакетов в секунду (Mpps).

Компания Imperva, в числе прочего, предоставляет своим клиентам защиту от DDoS-атак, поэтому специалисты компании сталкиваются с такими угрозами постоянно. Они приводят статистику за первый квартал 2016 года. Атаки 50+ Mpps уже практически стали нормой: их наблюдают раз в четыре дня. Атаки 80+ Mpps тоже не особенно редки и встречаются раз в восемь дней. Атаки, превосходящие 110 Mpps, тоже уже не являются единичными случаями, хотя распространены меньше.

Хотя данная атака и стала для специалистов Imperva наиболее мощной из всех, с которыми они сталкивались лично, эксперты пишут, что мощность атаки, на самом деле, не настолько важна:

«Мы хотели бы пояснить, что с технической точки зрения атаки сетевого уровня мощностью 300, 400 или 500 Гбит/с не так сильно отличаются друг от друга. По сути, эти угрозы идентичны, и подход с ним тоже нужен одинаковый».