StormWall фиксирует эволюционирование ботнетов
31 Мая 2022
В конце 2021 и начале 2022 года мы столкнулись с очень мощными DDoS-атаками – временами их сила достигала 1,2 Тбит/с. Эти атаки неожиданно прекратились 11 января 2022 года, вскоре после отключения Интернета в Казахстане, произведенного местными властями в связи с массовыми протестами в республике. Однако после того как Интернет в Казахстане снова заработал, атаки возобновились.
Немного позднее они «мутировали» и сейчас уже распределяются по регионам в зависимости от того, где находятся цели, намеченные злоумышленниками. И хотя мощность атак при этом снизилась, их эффективность в целом повысилась в результате того, что мощность точек фильтрации, имеющихся у большинства провайдеров Anti-DDoS в отдельных регионах, оказывается явно недостаточной для отражения серьезных узконаправленных атак, проводимых с использованием сегодняшних ботнетов.
Мы проанализировали особенности атак, наблюдавшихся в конце прошлого и первой половине нынешнего года, и пришли к следующим выводам.
1. Ботнеты объединяются в кластеры
Как мы уже отмечали ранее, «предновогодние» и «новогодние» атаки осуществлялись с использованием нового ботнета, состоящего, по всей видимости, из множества мощных разнородных ботнетов, объединенных в кластер. Эти ботнеты охватывали самые разные устройства – от пользовательских ПК, серверов и маршрутизаторов с разными версиями операционных систем до различных устройств домашнего и промышленного Интернета вещей: веб-камер, умных телевизоров и пр. Вероятнее всего, ботнеты создавались разными командами хакеров с использованием разных способов и инструментов получения управления над устройствами – для этого могли применяться инфицирование, проникновение и прочие техники. Позже злоумышленники смогли создать «поверх» этих ботнетов единую систему управления, что позволило им проводить направленные DDoS-атаки колоссальной мощности.
2. DDoS-атаки на основе ботнетов перемещаются ближе к намеченным целям
Однако одним только наращиванием мощности атак злоумышленники не ограничились и начали модифицировать методы проведения атак. В частности, хакеры перераспределяют концентрацию мощности атак в различных регионах. Если раньше большинство из них проводилось с устройств, расположенных в Азии, то недавно мы заметили, что все больше атак использует ботнеты, охватывающие устройства в Европе. Можно предположить, что злоумышленники осознали низкую эффективность атак из Азии (поскольку нелегитимный трафик будет легко отсекаться в местных точках фильтрации) и в настоящий момент пытаются атаковать с устройств, расположенных ближе к намеченным целям – а они сейчас в основном расположены в Европе и России. Соответственно, нагрузка на европейские узлы фильтрации заметно растет.
Отсюда вывод: чтобы успешно защищать своих клиентов от нынешних DDoS-атак, провайдерам Anti-DDoS необходимо не только поддерживать распределенную сеть фильтрации, но и обеспечивать высокую производительность каждого из своих узлов, достаточную для отражения атак мощностью от 1 Тбит/с и более.
3. Наиболее эффективными при отражении атак с использованием мощных ботнетов становятся сети фильтрации с небольшим числом высокопроизводительных узлов
Провайдеры сервисов защиты от DDoS-атак, как правило, придерживаются одного из двух подходов к построению архитектуры своих сетей фильтрации. Первый подход имеет немало сходства с архитектурами сетей CDN: создаются десятки и сотни точек присутствия, мощность каждой из которых невелика. Такую архитектуру выстроил, например, один известный зарубежный провайдер защиты. Преимуществом такого подхода является минимизация задержек трафика в периоды, пока атак нет или они «слабые», – для некоторых клиентов этот фактор является одним из ключевых при выборе провайдера Anti-DDoS. Однако отразить с помощью маломощных фильтров серьезную узконаправленную атаку, нацеленную на выведение из строя узлов или сайтов в конкретном регионе, бывает весьма сложно: часть пользователей практически неизбежно столкнутся с недоступностью защищаемого таким образом интернет-ресурса, если их трафик к нему проходит через точки фильтрации, расходующие всю свою производительность на отражение атаки.
Второй архитектурный подход заключается в том, чтобы создавать по всему миру небольшое число точек фильтрации, но при этом концентрировать в них очень высокую производительность. Такая архитектура позволяет легко отразить DDoS-атаку практически любой мощности, даже если вся ее сила обрушится на один из узлов. Правда, в периоды без атак задержка трафика будет немного больше, чем в архитектуре первого типа. Впрочем, эта проблема легко решается путем размещения на площадке клиента специализированного DDoS-сенсора: он будет анализировать трафик на наличие признаков атаки и при их обнаружении мгновенно перенаправит трафик на узлы фильтрации.
Именно по такой схеме выстроена архитектура сети фильтрации StormWall, в которой имеется всего пять узлов: в Москве, Франкфурте-на-Май̆не, Вашингтоне, Гонконге и Алматы. Мы уверены, что концентрация вычислительных и сетевых ресурсов в нескольких точках обработки трафика позволяет гораздо эффективнее отражать мощные DDoS-атаки, чем сильно распределенная сеть узлов фильтрации, каждый из которых обладает достаточно невысокой производительностью.
С учетом того, что в обозримом будущем ожидается стремительный рост мощности DDoS-атак (в том числе в результате охвата ботнетами все большего количества устройств Интернета вещей и использования каналов и технологий 5G), такое архитектурное решение видится нам наиболее перспективным. Что же касается небольших задержек трафика, то они гораздо менее критичны, чем проблемы, связанные с недоступностью интернет-ресурсов, защита которых оказалась неэффективной.