Подытожив свои наблюдения в прошлом году, эксперты Akamai Technologies пришли к выводу, что изменение основных показателей по DDoS-атакам стабилизировалось.
Так, мощность самых крупных инцидентов ежегодно возрастает примерно на 6%, хотя максимум изредка зашкаливает из-за появления новых техник (DDoS с memcached-плечом) или масштабных ботнетов вроде Mirai.
Однако вслед за пиком неизменно следует спад: конкурирующие ботоводы вступают в борьбу за тающие ресурсы либо рост угрозы разом пресекает дружное вмешательство интернет-сообщества — как в прошлом году, когда был закрыт крупнейший DDoS-сервис Webstresser.
Динамика медианного показателя мощности DDoS не столь устойчива, для него характерны флуктуации. По оценке Akamai, цикл роста и спада медианы мощности составляет два года, притом каждый новый взлет оказывается выше предыдущего.
Примечательно, что маломощные DDoS, редко попадающие в заголовки новостей, способны причинить не меньший ущерб, чем более громкие события. К тому же, согласно статистике Akamai, небольшие атаки стали повсеместным явлением. В 2018 году мусорный поток в большинстве случаев держался на уровне 1 Гбит/с.
Медианная мощность DDoS за год возросла с 0,56 до 1,548 Гбит/с. Рост предельных показателей для 95% атак составил более 90% — с 5,91 до 11,34 Гбит/с. Как отметили эксперты, с точки зрения защиты это означает, что как минимум половина потенциальных жертв должна ориентироваться на уровень до 1,5 Гбит/с. Если же онлайн-присутствие жизненно важно для бизнеса, организации следует строить оборону с учетом возможности атак в 11 Гбит/с и более.
Из техник, применяемых дидосерами, наиболее часто встречался UDP flood с фрагментацией пакетов — этот вектор использовался в трети случаев, зафиксированных Akamai. Второе место в этом рейтинге устойчиво держат DNS-атаки (flood и с усилением/отражением трафика с помощью открытых резолверов), третью строчку к концу года заняли DDoS с CLDAP-плечом.
Еженедельное распределение векторов DDoS (источник: блог Akamai)
Поскольку на графике представлены недельные флуктуации, к тому же лишь на конец года и без учета многовекторных атак, эксперты предупредили, что эти данные могут расходиться с итоговым рейтингом техник за 2018 год (пока не опубликован).
Квартальная норма DDoS-атак, по данным Akamai, в последнее время практически неизменна; в начале года этот показатель, как правило, несколько сокращается. Однако на этот раз эксперты отметили значительный спад во втором квартале: активность дидосеров снизилась на 10%. По времени это совпало с разгромом WebStresser — теневого DDoS-сервиса, ответственного за 4 млн атак. По другим данным, после его закрытия количество подобных инцидентов в Западной Европе сократилось на 60%.
Наблюдатели из Akamai продолжали фиксировать рекордно низкие показатели до начала июля, а затем последовал резкий взлет — недельный «улов» в районе 12 августа возрос до 235 событий. Когда DDoS-трафик вернулся к норме, злоумышленники сконцентрировались на банках и учебных заведениях — помимо игровых сайтов, которым дидосеры отдавали предпочтение в течение всего года.
