Отчет Selectel: Количество и мощность DDoS-атак активно растут, но их продолжительность остается на уровне 7 минут

• Количество атак резко выросло: за период с июля по декабрь 2024 года было отражено 80 735 атак, что в 2,6 раза превышает показатели первого полугодия 2024 года. В среднем ежемесячно отражались 13 455 атак;
• Максимальный объем атаки во втором полугодии составил 412 Гбит/с, а скорость — 103 миллиона пакетов в секунду;
• Самыми популярными были атаки типа TCP PSH/ACK Flood, TCP SYN Flood и UDP Flood, которые заняли 70% от общего количества;
• Наиболее мощные атаки наблюдались в июле и ноябре, а наиболее продолжительные — в октябре;
• Общая длительность атак на одного клиента в среднем составляла порядка 10 часов, а максимальное время, в течение которого один клиент находился под атакой, достигло 492 часов;
• Максимальное количество атак за месяц на одного клиента во втором полугодии составило 4 621 инцидент. Это в 3,6 раза больше, чем в первом полугодии 2024 года.

Инциденты множатся

За период с июля по декабрь 2024 года было отражено 80 735 атак, что в 2,6 раза превышает показатели первого полугодия 2024 года. В среднем ежемесячно сервис отражал 13 455 атак, а наибольшее число инцидентов было зафиксировано в октябре. Максимальное количество атак на одного клиента варьировалось по месяцам и в среднем составляло 2 780 инцидентов, а в сентябре было зафиксировано рекордное значение — 4 621 инцидент, что в 3,6 раза больше максимального показателя, зафиксированного в первом полугодии.

Мощность атак возрастает

Основные характеристики атаки, определяющие ее мощность на сетевом и транспортном уровнях, — это объем и скорость.

Атаки большого объема нацелены на переполнение каналов передачи данных. Злоумышленники отправляют большое число запросов в некорректном формате, что приводит к сбоям из-за исчерпания ресурсов. Максимальный объем атаки во втором полугодии был зафиксирован в ноябре и составил 412 Гбит/с. Однако, несмотря на рекордные показатели в этом месяце, средний объем переданных данных за инцидент оказался минимальным. Наибольшее значение, составляющее 48 ГБ, было отмечено в июле. При этом среднее количество переданных пакетов значительно варьировалось от месяца к месяцу: максимальное значение в 500 миллионов было зафиксировано в июле, что в 24 раза превышает минимальное значение, зарегистрированное в сентябре.

Атаки, характеризующиеся высокой скоростью, нацелены на исчерпание вычислительных мощностей сетевого оборудования. Наиболее значительный инцидент был зафиксирован в июле — скорость достигла 103 миллионов пакетов в секунду. Это почти в 5 раз превышает максимальную скорость атаки, зарегистрированную в декабре, когда максимальный показатель оказался самым низким — 22 миллиона пакетов в секунду.

Длительность атак остается прежней

За период с июля по декабрь 2024 года суммарная продолжительность атак составила 9 718 часов. Наибольшая активность зафиксирована в октябре, когда атаки длились 2 167 часов — почти в два раза больше, чем в ноябре, когда была зафиксирована минимальная длительность — 1 127 часов .

За исключением июля, средняя продолжительность одной атаки не превышала 7 минут, а наиболее длительный инцидент произошел в декабре – он продолжался в течение 202 часов. Это почти в 10 раз больше показателей предыдущих месяцев. При этом общая длительность атак на одного клиента в среднем составляла порядка 10 часов, а максимальное время, в течение которого один клиент находился под атакой, достигло 492 часов. Это в 2,9 раза больше показателей первого полугодия 2024 года.

Хакеры комбинируют методы

Самыми распространенными типами атак являются TCP PSH/ACK Flood, TCP SYN Flood и UDP Flood, которые в совокупности составляют 70% всех инцидентов.

UDP Flood основана на отправке большого количества UDP-датаграмм на случайные или выбранные порты целевого узла. При получении каждого пакета система определяет его принадлежность к конкретному приложению, проверяет активность и, при отсутствии ответа, отправляет ICMP-сообщение о недоступности адресата. Эти действия требуют дополнительных вычислительных ресурсов и при интенсивном воздействии могут привести к перегрузке узла.

TCP SYN Flood реализуется посредством массовой отправки SYN-запросов для установления соединения. При этом сервер направляет ответные SYN+ACK-пакеты, которые остаются без подтверждения, в результате чего формируется очередь полуоткрытых соединений. Это препятствует установлению легитимных соединений и вызывает задержки в обработке запросов.

TCP PSH/ACK Flood — тип атаки, при которой на целевой узел направляется большое количество поддельных ACK-пакетов с произвольными номерами портов. Такие пакеты не соответствуют ни одной из активных сессий, что вынуждает систему тратить ресурсы на их проверку и обработку.

Итоги 2024 года

Всего за 2024 год Selectel отразил 112 171 атаку на своих клиентов. Общее время, в течение которого заказчики Selectel были под атакой, составило 13 613 часов. Вместе с увеличением количества атак выросла и их общая продолжительность, тогда как средняя длительность одной атаки изменилась незначительно.

Участились повторные инциденты, поэтому показатель максимальной общей длительности атак на одного клиента увеличился со 172 часов в апреле до 492 в июле, а максимальное время одной атаки составило 202 часа в декабре — против 156 часов в апреле.

Методология

Основным источником данных для данного отчета являются системы защиты от DDoS-атак, используемые на уровне сетевой инфраструктуры дата-центров Selectel. Бесплатный сервис защиты от DDoS-атак работает при использовании облачной платформы Selectel, платформенных сервисов и выделенных серверов, включая аттестованные сегменты.

Сервис обеспечивает защиту на сетевом и транспортном уровнях от:

• атак с отражением на основе UDP (DNS, NTP, memcache и пр.);
• атак с использованием фрагментированного IP-трафика;
• TCP SYN/RST/PSH flood;
• различных типов UDP flood и ICMP flood