Автоматты аударма пайдаланылды

4,2 Тбит / с зиянды пакеттер және одан тыс: Cloudflare 2024 жылдың 3-тоқсанындағы DDoS шабуылдары туралы есеп

CloudFlare интернет қауіпсіздігі қызметтерін ұсынады: DDoS шабуылдарынан қорғау, веб-сайттарды жеделдету және интернет-трафикті оңтайландыру. Компанияның шешімдері ұйымдарға веб-сайттардың, қызметтердің және қосымшалардың тұрақтылығы мен жылдамдығын қамтамасыз ету арқылы интернет-ресурстарын қорғауға көмектеседі. 

DDoS қауіптері туралы Cloudflare-дің 19-шы есебімен танысыңыз. Компанияның тоқсан сайынғы басылымдары Cloudflare инфрақұрылымында табылған DDoS қауіптеріне егжей-тегжейлі шолу жасайды. Енді біз 2024 жылдың үшінші тоқсаны туралы сөйлесетін боламыз. 

Әлемнің 330-дан астам қаласында орналасқан 296 Тбит/с желінің жылдамдығымен Cloudflare барлық әлемдік веб-сайттардың кем дегенде 20% үшін кері прокси ретінде жұмыс істейді. Бұл вебтегі маңызды қауіптерді талдауға және анықтауға бірегей мүмкіндік береді.

BAKOTECH Максим Бормотовтың, Senior Partner Solutions Engineer, EMEA-ның Cloudflare түсініктемелерімен репортаждың маңызды сәттеріне шолу жасады.

  • 2024 жылдың үшінші тоқсанында DDoS шабуылдарының саны күрт өсті, Cloudflare шамамен 6 миллион шабуылды бейтараптандырды, бұл өткен тоқсанмен салыстырғанда 49% - ға және өткен жылдың сәйкес кезеңімен салыстырғанда 55% - ға өсті.  
  • Олардың 200-ден астамы 3 Тбит/с немесе секундына 2 миллиард пакеттен (Bpps) асатын гиперболалық шабуылдар болды. Максималды мән 4,2 Тбит/с-қа жетті және бұл бір минутта болды. 
  • Ең көп шабуылға ұшырағандар-банк және қаржылық қызметтер. Қытай шабуылдардың негізгі нысаны болды, ал Индонезия DDoS белсенділігінің ең үлкен көзі болды. 
Максим Мормотов: "бұл нақты жағдайға байланысты, бірақ басты мақсат — мақсатты сұраулардың үлкен санын спамдау арқылы рұқсат етілген пайдаланушылар немесе келушілер үшін инфрақұрылымды қолжетімсіз ету. Кейде DDoS-тың артында күрделі шабуылдар болуы мүмкін (мысалы, желіге кіру немесе троян/шпиондық бағдарламаны орнату).  
Әр минуттық бос уақыт-бұл жоғалған ақша. E-commerce веб-сайты қол жетімді емес деп елестетіп көріңіз — барлық тұтынушылар басқа жерден тауарлар мен қызметтерді табуға тырысады".   

6 миллион DDoS шабуылының жартысы HTTP деңгейінде, ал екіншісі желіде болды. Желілік деңгейдегі шабуылдар саны алдыңғы тоқсанмен салыстырғанда 51% - ға және бір жыл бұрынғы кезеңмен салыстырғанда 45% - ға өсті. HTTP шабуылдары өткен тоқсанның 61% -. және өткен жылдың 3 тоқсанымен салыстырғанда 68% - ға өсті. Шабуылдардың көпшілігі қысқа мерзімді болды, бірақ кейбіреулері бір сағаттан астам уақытқа созылды (жалпы санның шамамен 3%). 

Көптеген шабуылдарға ұшыраған аймақтар

2024 жылдың үшінші тоқсанында Қытай DDoS шабуылдарының ең танымал нысанасына айналды. Екінші орында Біріккен Араб Әмірліктері, үшінші орында Гонконг болды. Тізімде Сингапур, Германия және Бразилия бар. 

Жетінші орынды Канада иеленді, оның артында Оңтүстік Корея, Америка Құрама Штаттары және Тайвань болды. 

Көбінесе шабуылға ұшыраған салалар

2024 жылдың үшінші тоқсанында DDoS шабуылдарының ең көп саны банктік және қаржылық қызметтер секторына бағытталған. Ақпараттық технологиялар мен қызметтер секторы екінші орында, ал провайдерлер мен байланыс операторларын қоса алғанда, телекоммуникация саласы. 

Криптовалюта, Интернет, құмар ойындар және казино секторлары, сондай-ақ құмар ойындар шабуылдаушылар арасында келесі позицияларды алады. 

2024 жылдың бірінші жартыжылдығында Cloudflare 8,5 миллион DDoS шабуылдарын автоматты түрде бұғаттады, оның 4,5 миллионы бірінші тоқсанда, ал 4 миллионы екінші тоқсанда болды. Үшінші тоқсанда тағы 6 миллион шабуыл қосылып, жалпы саны 14,5 миллионға жетті немесе орташа есеппен сағатына 2200 шабуылға жетті. Олардың ішінде 200-ден астамы гипер көлемді болды, шыңдары 3,8 Тбит/с және секундына 2,2 миллиард пакет.

Cloudflare жаппай шабуылдарды, соның ішінде 2024 жылдың 21 қазанында 4,2 Тбит/с рекордтық шабуылды бір минутқа созуды жалғастыруда. 

3 тоқсанда желілік және қолданбалы деңгейлерде шабуылдардың таралуында біркелкілік байқалды. Олардың ішіндегі ең танымалдары SYN су тасқыны, DNS су тасқыны, UDP су тасқыны, ssdp шабуылдары және ICMP рефлексиялары болды. 

HTTP DDoS шабуылдарының 72% - ы белгілі ботнеттерді жасады, олар өздерінің CloudFlare эвристикасының арқасында автоматты түрде бұғатталды. Шабуылдардың тағы 13%-ы күдікті HTTP атрибуттарын талдау арқылы жойылды, ал шабуылдардың 9% - ы жалған браузерлер арқылы болды. Басқа шабуылдардың 6% - ы соңғы нүктелер мен кэшке бағытталған. 

Өткен тоқсанмен салыстырғанда ssdp күшейткіштерін (Simple Service Discovery Protocol) қолдана отырып, шабуылдар саны 4000%-ға өсті. Шабуылдаушылар DDoS шабуылдарын бастау үшін UPnP (Universal Plug and Play) протоколын белсенді қолданғанын білу маңызды. Олар UPnP қолдайтын осал құрылғыларға ssdp сұрауларын жіберді және дереккөздің IP мекенжайын жәбірленушінің IP мекенжайына ауыстырды.  

Құрылғылар жәбірленушінің IP-мекен-жайына инфрақұрылымды шамадан тыс жүктей отырып, көп мөлшерде трафик жібереді. Күшейту әсері шабуылдаушыларға кішігірім сұраныстар бойынша үлкен трафикті құруға мүмкіндік береді, бұл жәбірленушінің қызметін оффлайн режимінде аударады. 

Пайдаланылмаған құрылғыларда UPnP өшіру шабуылдың бұл түрінен қорғануға көмектеседі. 

Максим Бормотов: "табыстың жоғалуы, сәйкестік мәселелері (мысалы, GDPR, PCI DSS 4.0), брендтің беделі, реттеуші органдардың қосымша бақылауы. Gartner бағалауы бойынша, көптеген компаниялар сағатына 5 5600 немесе одан да көп 3 300,000 тұрады". 

Http DDoS шабуылдарын іске қосу арқылы киберқылмыскерлер назардан тыс қалу үшін қалыпты трафикпен біріктіруге тырысады. Олардың стратегияларының бірі-пайдаланушы агентін қолдан жасау. Бұл трафикті заңды шолғыш немесе басқа клиенттік бағдарлама ретінде беруге мүмкіндік береді. 

Үшінші тоқсанда HTTP DDoS шабуылдарының трафигінің 80% - ы осы шабуылдар кезінде ең көп таралған пайдаланушы агентіне айналған Google Chrome браузері ретінде жасырылды. Көбінесе шабуылдаушылар Chrome 118, 119, 120 және 121 нұсқаларын қолданды. 

Екінші орында http DDoS шабуылдарының 9% трафигі бар, оларда аталған пайдаланушы агенті жоқ. 

Үшінші және төртінші орындарда Go-http клиенті мен fastttp агентін қолданатын шабуылдар анықталды. Go-http – Go тіл кітапханасындағы стандартты HTTP клиенті, ал fastttp-өнімділігі жоғары балама. Ол жылдам әрекет ететін веб-қосымшаларды жасау үшін қолданылады, сонымен қатар DDoS шабуылдары мен веб-скрепингте жиі қолданылады. 

Бесінші орынды Erlang тіліне арналған HTTP клиенттік кітапханасы болып табылатын Hackney агенті алады. Ол Erlang/Elixir экожүйелерінде HTTP сұрауларын жіберу үшін белсенді қолданылады. 

DDoS шабуылдарында байқалған пайдаланушы агенттерінің арасында алтыншы орында HITV_ST_PLATFORM болды. Бұл агент смарт теледидарлармен немесе приставкалармен байланысты. Әдетте, зиянкестер Chrome сияқты танымал агенттерді ұнатып, пайдаланушының сирек кездесетін агенттерінен аулақ болады. Сондықтан HITV_ST_PLATFORM болуы кейбір смарт теледидарлардың немесе консольдердің бұзылғанын көрсетуі мүмкін. 

Жетінші орында файлдарды бөлісу үшін пайдаланылатын танымал BitTorrent клиентіне тиесілі uTorrent пайдаланушы агенті тұр. 

Okhttp DDoS шабуылдарындағы пайдаланушы агенттерінің тізімін жабады. Okhttp Java және Android қосымшалары үшін танымал HTTP клиенті болғанымен, оны DDoS шабуылдарында қолдану минималды болды. 

DDoS шабуылдарының HTTP трафигінің 89% - ы GET әдісін қолданғанымен, бұл жалпы HTTP әдісі болып табылады. Сондықтан біз шабуыл трафигін қалыпқа келтіріп, сұраныстар санын әр HTTP әдісі үшін сұраулардың жалпы санына бөлгенде, сурет өзгереді. 

DELETE әдісін қолданатын барлық сұраулардың шамамен 12%-ы http DDoS шабуылдарына жатады. Жойылғаннан кейін шабуылдарда HEAD, PATCH және GET әдістері жиі қолданылды. 

Сондай-ақ, DDoS шабуылдарына арналған сұраулардың 80% HTTP/2, ал 19% HTTP/1.1 арқылы келгенін атап өткен жөн. Алайда, нұсқалар бойынша жалпы трафикті қалыпқа келтіргеннен кейін, бұл сұраныстардың жалпы массадағы үлесі айтарлықтай төмендейді. Егер шабуылды әр нұсқа үшін қалыпқа келтірілген трафик контекстінде қарастыратын болсақ, оның көп бөлігі стандартты емес немесе қате көрсетілген "HTTP/1.2" нұсқасына байланысты зиянды болып шықты және DDoS шабуылдарына жатады. Айта кету керек, HTTP/1.2 хаттаманың ресми нұсқасы емес. 

  • Заманауи таратылған сәулет. Cloudflare-де өткізу қабілеті 296 Тбит/с болатын ғаламдық желі бар.
  • Ауқымды қауіп-қатер аналитикасы. Веб-трафиктің 20%-дан астамы CloudFlare прокси-серверлері арқылы өтеді, бұл күн сайын 206 миллиард кибершабуылдың алдын алады. Вендордың қатысуымен Машиналық оқыту модельдері киберқауіпсіздікте жаңа ережелер жасауға ықпал етеді. 
  • Пайдалану оңай және үнемді шешімдер. Сіз DDoS шабуылдарынан шектеусіз және шектеусіз қорғаныс ала аласыз, оны қолдану оңай. Трафикті қорғаудың қосымша шығындары жоқ. 

Қауіп субъектілері

Респонденттердің 80% - ы оларға кім шабуыл жасағанын білмейтінін айтты, ал 20% - ы шабуылдардың артында кім тұрғанын білді. Олардың қылмыскерлерін білетіндердің 32% - ы бұл төлем төлеушілер екенін көрсетті. Тағы 25% — ы шабуылдарды бәсекелестер бастағанын, ал 21% - ы шабуыл наразы клиенттерден немесе пайдаланушылардан болғанын атап өтті. Сонымен қатар, респонденттердің 14% - ы мемлекеттік немесе мемлекет қаржыландыратын ұйымдарды атап өтті, ал 7% - ы өз әрекеттерінің құрбаны болғанын мойындады. Бұл жағдайдың бір мысалы-IoT құрылғыларының микробағдарламасын жаңартуға байланысты бір уақытта желіге жоғары жүктеме түсіре отырып, деректерді жібере бастайды. 

Ең көп таралған қауіп субъектілері бопсалаушылар болып қалса да, сатып алу мақсатында DDoS шабуылдарының жалпы саны алдыңғы тоқсанмен салыстырғанда 42%-ға азайды, бірақ өткен жылдың сәйкес кезеңімен салыстырғанда 17% - ға өсті. Сауалнамаға қатысқандардың жалпы 7% - ы сатып алуды талап ететін шабуылдарға немесе зиян келтіру қаупіне тап болғанын айтты. Тамыз айында бұл көрсеткіш 10% - ға дейін көтерілді, яғни әрбір оныншы респондент қауіп-қатерге ұшырады. 

Негізгі елдер-DDoS шабуылдарының көздері

2024 жылдың үшінші тоқсанында DDoS шабуылдарының ең көп саны Индонезиядан келді. Нидерланды екінші орында, одан кейін Германия, Аргентина және Колумбия. Келесі бестікке Сингапур, Гонконг, Ресей, Финляндия және Украина кірді. 

Негізгі желілер-DDoS шабуылдарының көздері

2024 жылдың үшінші тоқсанындағы http DDoS шабуылдарының ең үлкен көздеріне неміс it провайдері Hetzner (AS24940) тиесілі болды. Екінші орында-Linode (AS63949), 2022 жылдан бері Akamai компаниясына тиесілі бұлтты платформа. Үшінші орынды Флорида штатының провайдері Vultr (AS64515) алады. 

Netcup (as197540), тағы бір неміс провайдері төртінші, ал Google Cloud Platform (AS15169) бесінші орынға ие болды. Алтыншы орынды digitalocean (AS14061), одан кейін француз OVH (AS16276), Stark Industries (AS44477), Amazon Web Services (AS16509) және Microsoft (AS8075) алады. 

Максим Бормотов: "Машиналық оқыту модельдері үнемі соңғы шабуылдардан үйренеді, ережелерді қолмен жасамай-ақ қорғаныс құралдарын қолданады ML CloudFlare желісінде табылған шабуылдар трафигінде оқытылады. 
AI/ML-ді қолтаңбаға негізделген дәстүрлі ережелермен үйлестіру ақылды жүйелердің адамдарды қалай жұмыс істей алатындығының мысалы болып табылады. AI ережелерді оңтайландыру үшін талдаушылар қолдана алатын жаңа зиянды жүктемелерді анықтайды. Бұл жасанды интеллект модельдері үшін ең жақсы оқу деректерін ұсынады және жалпы қорғаныс пен WAF жауап беру уақытын жақсартады. 
Cloudflare қалыпты және қауіпсіз Трафиктен ауытқуларды жақсырақ анықтау үшін тұтынушы трафигінің нақты сипаттамаларын есепке алу үшін ai моделін пайдаланады."

2024 жылдың 3-тоқсанында Cloudflare гипер-көлемді DDoS шабуылдарының үлкен өсуін тіркеді, онда ең жоғары мәндер 3,8 Тбит/с және 2,2 Тбит/с-қа жетті, бұл өткен жылы http/2 Rapid Reset науқанындағы қолданбалы деңгейдегі шабуылдар секундына 200 миллион сұраныстан (Mrps) асып кеткен ұқсас тенденцияны көрсетеді. Мұндай ауқымды шабуылдар интернет-ресурстарға, әсіресе өткізу қабілеті шектеулі бұлтты қызметтерге немесе жергілікті шешімдерге айтарлықтай әсер етуі мүмкін. 

Геосаяси шиеленістер мен жаһандық оқиғаларға байланысты Қуатты ботнеттерді пайдалану артып келеді және DDoS шабуылдарына қауіп төндіретін ұйымдардың ауқымы артып келеді. Өкінішке орай, көптеген кәсіпорындар шабуыл ауыр зиян келтіргеннен кейін ғана DDoS шабуылдарынан қорғауды жүзеге асырады. 

Бақылаулар жақсы дамыған және жан-жақты қауіпсіздік стратегиялары бар компаниялардың мұндай киберқауіптерге әлдеқайда төзімді екенін растайды. Автоматтандырылған қорғаныс құралдарына және қауіпсіздік өнімдерінің сенімді жиынтығына қомақты инвестиция салу арқылы Cloudflare қазіргі және жаңа қауіптерден белсенді қорғауға кепілдік береді-осылайша Сіз бұл туралы алаңдамайсыз. 

Cloudflare қосылым бұлты бүкіл кәсіпорын желілерін қорғайды, тұтынушыларға интернет масштабындағы қолданбаларды тиімді дамытуға көмектеседі, веб-сайттар мен онлайн қолданбалардың жылдамдығын жақсартады, DDoS шабуылдарынан қорғайды, хакерлерді тежейді және нөлдік сенім тұжырымдамасын жүзеге асыру жолында сізді қолдайды.

Пікірлер 2

Кіру пікір қалдыру үшін