Весна — DDoS-атаки в Рунете гораздо мощнее

Во время весенней «кампании» злоумышленников, избравших в качестве своей цели сразу несколько ведущих российских банков, крупных компаний и государственных учреждений, средняя мощность атаки составляла 70-80 Гб/с, а в пиковые моменты превышала 100 Гб/с. Такие показатели стали новым рекордом для российского сегмента Глобальной сети — всего год назад самая мощная DDoS-атака в Рунете не превышала порога в 60 Гб/с.Столь значительное увеличение мощности DDoS-атак стало следствием распространения среди киберзлоумышленников нового метода NTP Amplification. Атаки этого типа имеют коэффициент усиления до 556 раз, что позволяет хакерам быстро достичь высокой мощности при минимальных усилиях. Для сравнения, нашумевшие год назад атаки, в том числе на ряд известных российских СМИ, типа DNS Amplification имеют коэффициент усиления в 10 раз меньше — до 54 раз. Помимо этого, любой Amplification дает злоумышленникам возможность скрыть свой настоящий адрес, что затрудняет их идентификацию.Именно атаки типа NTP Amplification наряду с широко распространенными SYN Flood применялись киберпреступниками во время весенней волны DDoS-атак, затронувшей крупнейшие банковские структуры России, в том числе Альфа-Банк и ВТБ24, федеральные министерства, одну из крупнейших российских авиакомпаний «Аэрофлот», телеканал Russia Today и другие организации. В течение одной недели в марте хакеры с разной степенью интенсивности атаковали различные веб-ресурсы этих организаций. В пиковые моменты мощность атак доходила до 120 Гб/с.Однако даже такой мощности атаки не смогли существенно нарушить нормальное функционирование веб-ресурсов, оказавшихся под прицелом злоумышленников, но находившихся под защитой «Лаборатории Касперского». Система противодействия атакам на базе решения Kaspersky DDoS Prevention, применяемая во всех этих учреждениях, позволила отразить нападки злоумышленников посредством фильтрации интернет-трафика. Принцип защиты, реализованный в этом решении, сводится к тому, что весь «мусорный» трафик, создающий избыточную нагрузку на канал, операционную систему, приложение и приводящий к недоступности ресурса, проходит через распределенные центры фильтрации, где и отсекается. Таким образом, защищаемый ресурс получает только легитимные запросы пользователей и способен продолжать работу даже во время атаки.В частности в Альфа-Банке «Лаборатория Касперского» защищала платежные шлюзы, благодаря чему эти ресурсы продолжали полноценно работать во время мартовских атак. В свою очередь, в ВТБ24 под защитой «Лаборатории Касперского» находился комплекс почтовых серверов, а также клиент-банк и еще ряд веб-сервисов — все они также работали без сбоев во время серии DDoS-атак.