Эволюция DDoS-атак: от 1990-х до наших дней 

Изначально они были развлечением студентов в США. Спустя 30 лет их превратили в мощнейшее оружие против корпораций и госструктур. Всё это — краткая история DDoS-атак. Наша статья для тех, кто хочет узнать больше. 

1990-е: шалости зашли далеко 

Впервые о DDoS-атаках (Distributed Denial of Service — «распределённый отказ в обслуживании») мир услышал в 1990-х. В те годы интернет только становился массовым, а продвинутый пользователь в обществе автоматически считался хакером. 

Огромную роль в истории DDoS сыграл Кевин Митник. Знаменитый хакер в 1994 году использовал большое количество SYN-пакетов в своём нападении на давнего оппонента Цутому Симомуру. Метод, который позже получил название SYN Flood, позволил ему вывести из строя компьютер соперника. 

Считается, что в тот момент Митник впервые провёл успешную DoS-атаку (Denial of Service — «отказ в обслуживании»). Позже хакер расписал схему с теми же SYN-пакетами, но с запуском трафика с нескольких компьютеров одновременно. В этот момент к названию атаки добавилось прилагательное «распределённый», а в киберпреступном мире появился новый термин — DDoS.

Через два года на одном из форумов в Сети опубликовали любопытный набор утилит с открытым кодом. Он позволял удалённо проводить многочисленные и одновременные удары по ресурсам жертвы. 

Позже, 22 июля 1999-го, компьютер Университета Миннесоты внезапно подвергся атаке со стороны сети из 114 компьютеров. Все они были заражены вредоносным скриптом Trin00. Код вынудил устройства отправлять на указанный адрес множество объёмных пакетов данных. В итоге системы университета перестали отвечать на запросы реальных пользователей. Как вы уже догадались, скрипт Trin00 был создан на базе того самого открытого кода, который появился в Сети тремя годами ранее.

2000-е: первые мощные удары 

Главным событием начала «нулевых» стали DDoS-атаки на сайты в домене .com, а главным героем этой истории — канадский подросток с никнеймом Mafiaboy. Используя метод SYN Flood, который мы ранее видели в истории Митника, он несколько дней терроризировал Yahoo!, Fifa.com, Amazon, eBay, CNN, Dell и множество других крупных компаний. Все DDoS-атаки юный хакер запустил со взломанных компьютеров одного из университетов.  

Инцидент привлёк внимание как интернет-пользователей, так и бизнеса. О DDoS-атаках как о важной киберугрозе впервые заговорили на государственном уровне.

В 2002 году в ИТ-сообществе появились обсуждения новых методов DDoS-атак. В частности, теперь хакеры чаще стали использовать протоколы HTTP, а также запросы сторонним публичным ресурсам. Во втором случае они подменяли IP на адрес жертвы. В итоге цель атаки получала огромное количество ответов, её сервер не мог их обработать и отказывался рассматривать обращения реальных пользователей. 

В 2005 году несколько ИТ- и телеком-гигантов мирового значения сформировали антихакерский альянс. Компании были озабочены активным развитием DDoS-атак. Инциденты не только стали многочисленными и более мощными. Теперь всё чаще жертвы страдали от DDoS-атак в десятки Гбит/с, хотя ещё недавно масштабы определялись сотнями Мбит/с. 

В середине 2000-х также появилось новое явление — RDDoS (Ransom DDoS). Теперь злоумышленники и запускали атаки, и угрожали ими. Вымогатели требовали выкуп, а взамен обещали «клиенту» не штурмовать его ресурсы или завершить удары по ним. В такой ситуации, в частности, оказались несколько букмекерских компаний в Великобритании. Вымогатели начали атаковать их в преддверии крупного события — Челтнемского конного фестиваля.  

В те же годы злоумышленники стали предлагать коллегам инфраструктуру для запуска DDoS-атак. Технически речь шла о первых ботнетах, которые начали сдавать в аренду. 

Ещё одно важное событие тех лет — первое специализированное решение для защиты от DDoS-атак. Разработкой нового ИБ-продукта занималась израильская компания Riverhead. Позже аналогичное решение выпустили в Arbor Network (США). Затем темой защиты от DDoS-атак заинтересовались в Cisco Systems. Компания приобрела Riverhead. Таким образом, в нише anti-DDoS появился ИБ-гигант. 

В 2000-х также на рынке появились первые облачные средства защиты. В их числе  Prolexic (сегодня принадлежит Akamai), BlackLotus, Dragonara и др. 

2010-е: рождение хактивизма и новые инструменты

Ещё в 2007 году серьёзным DDoS-атакам подверглась Эстония. Вредоносный трафик огромных масштабов буквально потряс страну. Атаки проводились коллективно — силами активистов со всего мира. 

Позже это явление назвали хактивизмом. И самое бурное развитие он получил в начале 2010-х, когда в Сети распространились хакерские утилиты Low Orbit Ion Cannon (LOIC) и High Orbit Ion Cannon. С их помощью идейные злоумышленники перегружали ресурсы жертв потоком данных, используя протоколы TCP, UDP и HTTP. 

Использовать обе утилиты оказалось крайне просто, разобраться с интерфейсом мог даже школьник. Такая техническая доступность сказалась на росте количества и интенсивности DDoS-атак. В итоге к 2013 году рекордная мощность атаки составляла 300 Гбит/с, во время Олимпийских игр 2016-го она достигла 500, а спустя месяц — 620 Гбит/с. 

Последняя цифра, к слову, — результат DDoS-атаки с участием легендарного ботнета Mirai. Мощнейший удар был направлен на сайт Брайана Кребса, который известен расследованиями и разоблачениями в мире киберпреступности. 

Позже ботнет Mirai нанёс ущерб Dyn DNS — одному из крупнейших операторов DNS-услуг в США. Также в ходе инцидента пострадали многочисленные клиенты, в их числе Twitter, GitHub и Spotify. Как показало расследование, DDoS-атака велась с минимум 100 тыс. подключенных к ботнету устройств. 

Какое влияние на развитие ботнета оказал хактивизм, сказать сложно. Тем не менее, именно в 2010-х в мире киберпреступности зародилось сразу несколько идейных группировок. Одна из них — Anonymous — запустила немало DDoS-атак на ресурсы корпораций и организаций, выступающих против пиратства в интернете и торент-трекеров.  

Подробнее: Известные хакерские группировки: как они работают и что им грозит

2020-е: рекорды на всех фронтах

В этом десятилетии количество DDoS-атак в мире растёт огромными темпами. Так, в отчёте о DDoS-атаках за 2023 год мы фиксировали прирост на 63%. К концу 2024-го, по предварительным данным, объём DDoS-атак увеличится минимум на 100%. 

Ещё один факт: теперь количество устройств в ботнетах исчисляется сотнями тысяч устройств. Хотя ещё недавно многих из нас удивляли DDoS-атаки с участием 100+ гаджетов. Бурное развитие ботнетов, по мнению экспертов, сводится к росту количества IoT-устройств и популярности технологии умного дома. 

Подробнее: Как умный дом влияет на рост DDoS-атак

Также активно растёт мощность DDoS-атак. В 2020-х нормой становятся значения в десятки Тбит/с, а рекорды достигают десятков млн запросов в секунду. 

И наконец, сегодня злоумышленники регулярно обновляют методы и инструменты для запуска атак. На первое место выходят многовекторные, ковровые и другие сложные DDoS-атаки. В запуске многих из них используются технологии ИИ и машинного обучения. Отражать такие атаки с каждым годом становится сложнее. В итоге потенциальным жертвам всё чаще требуются специализированные средства защиты, которые способны работать сразу на нескольких уровнях сети. Решения StormWall в их числе.