16 июля 2021
Эволюция DDoS-атак
Продолжающаяся цифровая трансформация бизнеса не только значительно увеличила нагрузку на сети и дата-центры, но и усилила интерес злоумышленников к DDoS-атакам на сетевом уровне. Современные DDoS -атаки по своим масштабам уже вплотную приближаются к 1 Тбит/с.
Но история DDoS-атак берет свое начало в 90-е годы прошлого тысячелетия. В 1996 году, когда Интернет только становился массовым, на одном из форумов был опубликован набор публичных инструментов с исходным кодом для осуществления DDoS-нападений.
Тот исходный код положил начало событиям, которые произошли 22 июля 1999 года. В этот день компьютер Университета Миннесоты внезапно подвергся атаке со стороны сети из 114 компьютеров, зараженных вредоносным скриптом Trin00. Код заставил зараженные компьютеры в огромных по тем меркам объемах отправлять пакеты данных в университет, из-за чего его компьютер был перегружен и не мог обрабатывать обычные запросы пользователей. Это была первая DDoS-атака, так сказать, локального масштаба. Но практика быстро распространилась. Уже через несколько месяцев ее жертвами стали Yahoo, Amazon и CNN, которые уже были довольно популярны. Интересным фактом является то, что одна из этих атак проводилась 15-летним канадцем. После вышеупомянутых событий методы blackhole/sinkhole (полный сброс трафика) уже не могли нейтрализовать наиболее крупные атаки.
В 2003 DDoS-атаки добрались и до России: был атакован MasterHost — самый крупный хостинг нашей страны на тот момент. Через четыре года серьезным распределенным атакам на отказ в обслуживании подверглась Эстония. Впервые всю силу DDoS-атак ощутило на себе государство — до этого считалось, что такими инструментами пользуются только пранкеры и вымогатели.
Первая половина 2010-х годов характеризуется постоянно обновляющимися рекордами мощностей DDoS-атак:
300 Гбит/с, 500 Гбит/с, 620 Гбит/с. Защита с помощью оборудования уже была катастрофически недостаточной для нейтрализации входящих атак многочисленных ботнетов. Требовались другие возможности. И они появились. Крупнейшие компании, занимающиеся сетевой безопасностью, завершают построение распределенных сетей фильтрации. Вместе с этим начинается эра глобальных облачных сервисов защиты от DDoS.
В наши дни ландшафт DDoS-атак характеризуется высоким “входным порогом” для нанесения ощутимого урона цели атаки. Наиболее болезненные атаки приходятся на профессиональный бизнес и имеют под собой обычно два мотива. Первый это сопровождение попыток проникновения — так сложнее вернуть нормальное состояние системе и остановить злоумышленника. А второй это конкурентная борьба. По этим причинам в качестве источника заработка владельцы ботнетов для проведения DDoS используют либо продажу в своих услуг в даркнете, либо занимаются банальным вымогательством. Отчасти именно высоких порог входа для проведения DDoS-атак сделал из этой противоправной деятельности настоящий бизнес.
Там, где есть спрос, есть и предложение: мы уже писали о том, что сегодня в Даркнете и профильных каналах Telegram есть предложения об аренде ботнета для проведения DDoS-атак за вполне скромные деньги — можно на неделю стать пользователем ботнета, который может устроить атаку мощностью до 400 Гбит/с, всего за несколько сотен долларов.
Тем не менее, эксперты считают, что ожидать снижения подобной хакерской активности в обозримом будущем не стоит. Повсеместное распространение Internet of Things, появление сетей 5G, а также последствия локдауна лишь способствуют пополнению рядов киберпреступников. Ответом на это обязательно станет появление ещё более совершенных средств противостояния DDoS, в том числе с применением технологий машинного обучения.
