Зафиксирован новый скачок мощности DDoS-атак в Рунете

По наблюдениям "Лаборатории Касперского", во время весенней "кампании" злоумышленников, избравших в качестве своей цели сразу несколько ведущих российских банков, крупных компаний и государственных учреждений, средняя мощность атаки составляла 70-80 Гб/с, а в пиковые моменты превышала 100 Гб/с. Такие показатели стали новым рекордом для российского сегмента Глобальной сети - всего год назад самая мощная DDoS-атака в Рунете не превышала порога в 60 Гб/с.

Столь значительное увеличение мощности DDoS-атак стало следствием распространения среди киберзлоумышленников нового метода NTP Amplification. Атаки этого типа имеют коэффициент усиления до 556 раз, что позволяет хакерам быстро достичь высокой мощности при минимальных усилиях.

Именно атаки типа NTP Amplification наряду с широко распространенными SYN Flood применялись киберпреступниками во время весенней волны DDoS-атак. "В марте, как следствие украинского политического кризиса,  наиболее подвержены риску атак были государственные или тесно связанные с государством структуры. Это такие организации, как Сбербанк, Газпромбанк, Альфабанк, VTB24, Лаборатория Касперского, некоторые правительственные веб-сайты (Роскомнадзор, Центробанк РФ, kremlin.ru), Лайфньюз, Первый Канал, RussiaToday, Комсомольская правда", - рассказал основатель и генеральный директор компании Qrator Labs Александр Лямин.

"Резкое увеличение мощности DDoS-атак в Рунете произошло из-за обнаруженной в протоколе NTP возможности, а точнее команды, которая в ответ на запрос отправляет последние 600 IP-адресов, обращавшихся к серверу. Именно эта особенность и дает тот самый коэффициент усиления, - поясняет Евгений Виговский, менеджер по развитию бизнеса Kaspersky DDoS Prevention "Лаборатории Касперского". - Пока IT-специалисты будут пренебрегать корректной настройкой NTP серверов, такого рода атаки будут продолжаться. Как бы то ни было, другие типы атак, разумеется, никуда не исчезли и не потеряли своей привлекательности в глазах киберпреступников, равно как и специализированная защита от DDoS-атак не потеряет своей актуальности".

По мнению Александра Лямина, увеличение мощности атак является мнимым: "Частота атак, конечно, возросла, и подобное обострение во многом связано с украинским кризисом. Но атаки типа NTPAmplification известны уже более пяти лет, и значение мощности в 100 Гбит/с они преодолели еще в октябре 2010.Волна этих атак началась в марте 2013, что стало возможным во многом благодаря доступному инструментарию, который начали повсеместно использовать хакеры (netmap (lugirizzo), inteldpdk, pfringdna (nmap).

По словам эксперта, избежать атаки невозможно. "Можно и нужно подготовиться к ней -  это позволит минимизировать ущерб. Необходимо заранее обеспечить резервирование DNS-серверов, не держать DNS на локальной инфраструктуре, что позволит создать защиту от DDoS типа Amplification. Такого рода атаки наиболее опасны, так как на их нейтрализацию может понадобиться до нескольких суток. Это тот случай, когда угрозу легче предотвратить с помощью профилактических мер, чем устранить", - пояснил Александр Лямин.