DDos-атака накрыла интернет-платежи в России в Интернет


Оглавление (нажмите, чтобы открыть):

Сбербанк объяснил сбой онлайн-платежей новой DDoS-атакой

10 ноября на его сервис «Сбербанк онлайн» была организована DDoS-атака, которая длилась несколько часов. До этого хакеры атаковали российские банки 9 ноября. По данным ЦБ, для этого использовались устройства «интернет вещей».

Как сообщили РБК в Сбербанке, во второй половине четверга, 10 ноября, веб-ресурс «Сбербанк онлайн» подвергся многократной мощной DDoS-атаке, которая длилась несколько часов. «Атака была успешно отражена системами защиты банка. Отмечались некоторые замедления от нескольких секунд до минуты в предоставлении данного сервиса», — сообщил представитель банка. Он уточнил, что отказов в предоставлении сервисов системами банка не фиксировались.

8–9 ноября кибермошенники организовали серию хакерских атак на ряд российских банков, в том числе Сбербанк, банк «Открытие», Альфа-банк. Для этого хакеры использовали ботнеты, включающие десятки тысяч машин, территориально распределенных по нескольким десяткам стран, уточнял представитель Сбербанка.

В ЦБ в четверг РБК уточнили, что Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) зарегистрировал атаки на ряд крупных банков, в которых участвовали бот-сети, состоящие из так называемых устройств «интернет вещей». ФинЦЕРТ является структурным подразделением Главного управления безопасности и защиты информации Банка России.

Регулятор отмечает, что мощность атак была средняя, при этом «нарушений доступности сервисов банков не фиксировалось». «Соответствующая информация доведена до правоохранительных органов», — сообщил официальный представитель ЦБ.

«Интернет вещей» (Internet of Things, IoT) — сеть устройств, оснащенных встроенными технологиями для взаимодействия друг с другом или с внешней средой. В том числе это могут быть предметы бытовой техники, оснащенные устройствами для выхода в интернет и связанные в единую сеть для дистанционного управления или любые датчики, передающие информацию на единый сервер.

О том, что в атаках на российские банки использовались устройства, относящиеся к IoT, РБК заявили и в Group-IB, компании, специализирующейся на кибербезопасности. Согласно исследованию Group-IB, объем хищений в результате целевых атак на банки в июле 2015 — июне 2020 года вырос на 292% по сравнению с тем же периодом в 2014–2015 годах и достиг 2,5 млрд руб.

В Group-IB указывали на рост популярности бот-сетей для DDoS-атак — «обрушений» серверов компаний. Причем для создания бот-сетей злоумышленники используют не компьютеры с Windows, как было раньше, а Linux-серверы и простые устройства IoT. «IoT-устройства в большинстве своем работают круглосуточно и не защищены антивирусами», — отмечает пресс-секретарь Group-IB Николай Грунин.

Разносчиком вирусов может стать подключенный к Wi-Fi холодильник или другие бытовые приборы, говорит представитель Group-IB. По его словам, бытовые приборы могут связываться через Wi-Fi с компьютерами и серверами и в случае заражения рассылать вредоносное ПО или множественные запросы на сервер компании, то есть проводить DDoS-атаки.

Практика использования устройств с дистанционным управлением (IoT) является стандартной при DDoS-атаках, согласен директор по IT крупного банка. «С учетом того, что экономика становится все более цифровой, рисков кибермошенничества становится все больше. Объемы DDoS-атак выросли на порядки потому, что число устройств «интернета вещей» становится все больше», — признает банкир.

Всего с октября 2015 года по март 2020 года Центробанк зафиксировал 21 кибератаку на платежные системы российских финансовых организаций. Мошенники пытались похитить со счетов банков 2,87 млрд руб., ЦБ и банкам удалось предотвратить хищения на общую сумму 1,6 млрд руб, сообщал Банк России.

Альберт КОШКАРОВ, Марина БОЖКО, Анна БАЛАШОВА, Денис БОНДАРЕВ

DDos-атака накрыла интернет-платежи в России

Как рассказал CNews Геннадий Спирин, гендиректор компании «Ассист», занимающей 24% российского рынка процессинга банковских карт в интернете, на серверы компании сейчас ведется DDoS-атака. В результате нее больше тысячи клиентов компании не могут принимать банковские карты для оплаты в интернете. По словам Спирина, предсказать, когда закончится атака, он не может. Как ее остановить, в компании тоже не знают. Правоохранительные органы, по словам Спирина, ведут поиск злоумышленников.

DDoS-атаки в России

Содержание

Что такое и как работает DDoS-атака

Защита от DDoS-атак

Рост числа DDoS-атак на российские компании почти в 2 раза

27 марта 2020 года «Ростелеком» сообщил о проведении исследования DDoS-атак, осуществлявшихся на российский сегмент интернета в 2020 году. Как свидетельствует отчет, в 2020 году произошел резкий рост не только количества DDoS-атак, но и их мощности.

По сравнению с 2020 годом количество атак выросло почти в два раза – на 95%. Аналитики полагают, что во многом это связано с их дешевизной и эффективностью. При этом мощность DDoS-атак также резко возросла. Самая серьезная атака, зафиксированная «Ростелекомом» в 2020 году, осуществлялась на телеком-оператора Dtel.ru. Ее интенсивность достигала 450 Гбит/с, тогда как рекорд 2020 года – всего 54 Гбит/с. Самая продолжительная DDoS-атака длилась 280 часов (11 суток и 16 часов). Для сравнения, в среднем такие атаки длятся 1,5-2 часа.

Несмотря на интенсивную работу американских и европейских правоохранительных органов по закрытию публичных сервисов организации DDoS, таких как известный Webstresser.org, заметного снижения количества потенциально опасных атак на российские компании в 2020 году не произошло. Поэтому мы и далее будем активно развивать эшелонированную защиту от DDoS на всех уровнях интернет-инфраструктуры наших клиентов — от каналов и до бизнес-логики защищаемых приложений. Превентивное подключение к ней гарантирует доступность и безопасность бизнеса наших клиентов в ставшей агрессивной интернет-среде, – сообщил Иван Мирошниченко, руководитель направления развития MSSP-сервисов компании Ростелеком-Solar.

Чаще всего злоумышленники атакуют компании, относящиеся к сферам игровой индустрии и электронной коммерции. Доля атак на игровые серверы составила 64%. По прогнозам аналитиков, данная картина не изменится в ближайшие годы, а с развитием киберспорта можно ожидать уеличения числа атак на отрасль. Предприятия электронной коммерции стабильно «удерживают» второе место (16%). Доля DDoS-атак на телеком выросла с 5% до 10%, а доля образовательных учреждений, напротив, резко сократилась – с 10% до 1%. Рост среднего числа атак на одного клиента составил 45% для игрового сегмента, 19% — для игровой коммерции.

Пик DDoS-атак в 2020 году пришелся на ноябрь-декабрь. Эти месяцы считаются ключевыми с точки зрения продаж в сегменте электронной коммерции – покупательская активность растет в связи с предпраздничным периодом и стартом крупных распродаж. DDoS позволяет на время заблокировать ресурсы конкурента или может использоваться злоумышленниками в качестве орудия шантажа тех компаний, которые в ноябре-декабре получают большую часть выручки.

Наиболее популярным методом DDoS является UDP-флуд – почти 38% всех атак осуществляется именно этим способом. Также отмечается резкий рост доли атак с амплификацией и атак типа SYN-флуд. Их объединяет то, что как первые не требуют наличия ботнета (и соответственно, затрат на его организацию/покупку), так и вторые могут осуществляться как с использованием ботнета, так и без него.

«Коммерсантъ» пережил DDoS-атаку

Сайт газеты «Коммерсантъ» вечером 30 мая 2020 года подвергся интенсивной DDoS-атаке, более чем на час сделавшей ресурс недоступным. Как сообщил ИА RNS главный редактор издания Сергей Яковлев, атака началась незадолго до восьми вечера и продлилась около 70 минут. К 21:10 по московскому времени работоспособность сайта была восстановлена, но ближе к десяти вечера СМИ снова отметили проблемы с доступом. По состоянию на 31 мая, сайт работает в штатном режиме. Подробнее здесь.

«Ростелеком» отразил DDoS-атаки на крупнейшие банки и финансовые организации России


«Ростелеком» отразил в декабре 2020 года DDoS-атаки на 5 крупнейших банков и финансовых организаций России. Отраженные атаки имели похожий почерк: тип – TCP SYN Flood. Пиковая мощность составляла 3.2 миллиона пакетов в секунду. При этом самая продолжительная атака длилась более 2 часов. Все отраженные атаки были зафиксированы 5 декабря 2020 года.

«Анализ источников атак, проведенный специалистами «Ростелекома», выявил, что часть трафика генерировалось с домашних маршрутизаторов пользователей, которые принято относить к IoT устройствам. Отличительной особенностью атак являлось то, что они были организованы с помощью устройств, поддерживающих протокол управления CWMP (TR-069). Несколько недель назад в реализации данного протокола на устройствах ряда производителей была выявлена серьезная уязвимость, позволяющая злоумышленникам формировать ботнет с целью организации DDoS-атак. В частности, в начале прошлой недели атаке на домашние устройства пользователей подвергся крупнейший немецкий оператор Deutsche Telecom, а также ирландский провайдер Eircom», — заявил директор Центра кибербезопасности ПАО «Ростелеком» Муслим Меджлумов.

Организация DDoS-атак с использованием ботнет из сегмента IoT получает все большее распространение, а количество устройств, участвующих в этих атаках превышает сотни тысяч. Уже есть примеры, когда пиковая мощность атак с использованием данной технологии превышала 1 Тбит/с.

Своим клиентам «Ростелеком» предлагает услугу «Мониторинг трафика и защита от DDoS-атак», которая позволяет справиться с DDoS-атаками на любой информационный ресурс в кратчайшие сроки. Каждому клиенту предоставляется доступ к личному кабинету, где он может получить всю необходимую информацию по выявленным аномалиям и наблюдать за ходом отражения атаки. Услуга «Защита от DDoS-атак» является дополнительной к услуге доступа в интернет и позволяет корпоративным пользователям «Ростелекома» получать комплексные услуги связи и гарантии безопасности в рамках одного соглашения. Услуга предоставляется 24 часа в сутки 365 дней в году. Защиту от DDoS-атак «Ростелеком» использовал при реализации масштабных национальных проектов: организации системы видеонаблюдения за ходом выборов Президента РФ в 2012 году, проведения ежегодных «прямых линий» с Президентом, а также поддержки Зимних Олимпийских игр в Сочи.

ЦБ: Пять крупных российских банков подверглись DDoS-атаке

10 ноября 2020 года Центробанк РФ заявил, что пять российских банков подверглись хакерской атаке [1] . Представители трех из них подтвердили эту информацию. По их словам, мощность атак варьировалась от «слабой» до «мощной»; взаимодействие с клиентами не пострадало.

Под ударом оказались Сбербанк, Альфа-банк, «Открытие», «БМ-Банк Россия» и Росбанк. По оценке «Лаборатории Касперского», DDoS-атаки (они генерируют трафик, перегружающий систему) начались в 16:00, каждая длилась минимум час, а самая долгая — почти 12 часов. Некоторые банки подверглись серии от двух до четырех атак, произошедших с небольшим интервалом. Атаковавшие использовали ботнет (сеть зараженных устройств), в которую, по оценкам специалистов, входили 24 тысячи машин из «интернета вещей» (зараженными хостами в этом случае могли быть, например, подключенные к интернету телевизоры или камеры видеонаблюдения).

Первым об атаке на российские банки сообщило американское издание Motherboard, научное подразделение издания Vice. 8 ноября Motherboard рассказал о переписке с хакером под ником vimproduct. Он заявил, что берет на себя ответственность за атаку на ВТБ, Росбанк, Альфа-банк и Московскую биржу (в последней отметили возросшую нагрузку на сайт, но объяснили это проходящими в США выборами президента) [2] .

«Vimproduct присылал нам одну за другой ссылки на полностью работающие сайты, через мгновения они переставали отвечать», — говорится в заметке Motherboard. Издание также приводит скриншот сайта Альфа-банка, выдающего внутреннюю ошибку. Взломщик объяснил атаку тем, что «его заказчики были недовольны вмешательством России в американские выборы», а также отметил, что несколько раз атаковал сайт Минэкономразвития РФ, но безуспешно.

DDoS-атаки на сайты RT продолжаются более семи дней

Nexusguard: Россия лидирует по числу DDoS-атак

В конце июля 2020 года компания Nexusguard, специализирующаяся на разработке решений защиты от киберугроз в интернете, опубликовала отчет о совершении DDoS-атак по всему миру. Больше всего нападений зафиксировано в России.

По итогам второго квартала 2020 года в Nexusguard насчитали 182 900 DDoS-атак в глобальном масштабе, что на 83% больше показателя годичной давности. Россия заняла первое место по количеству таких нападений. Сколько их было совершено в нашей стране, эксперты не уточнили, но отметили, что свыше 40% атак были адресованы абонентам провайдера «Старлинк». В данном случае злоумышленники атаковали DNS-серверы в течение длительного времени, в результате чего средняя продолжительность DDoS-атак в мире начала измеряться часами, а не минутами, как в январе-марте 2020 года.

В Nexusguard говорят, что целенаправленные атаки на российские компании организовали националистические хакеры-активисты. При этом речь не шла о нападениях по заказу конкурентов.

В тройку стран, на которые обрушилось больше всего DDoS-атак во второй четверти 2020 года, помимо России, вошли Соединенные Штаты и Китае. В десятке осталась Бразилия, однако количество атак в этой стране уменьшилось более чем наполовину.

Мы были удивлены увеличением числа DDoS-атак в этом квартале, особенно, когда хакеры экспериментировали с программами-вымогателями, фишинговыми схемами и другими методами получения денежной наживы, — говорит главный научный сотрудник Nexusguard Терренс Гаро (Terrence Gareau). — В 2020 году частота атак на организации может продолжить рост, особенно в связи с большим вниманием к летним Олимпийским играм и выбору президента в США в ноябре.

В рамках DDoS-атак хакеры чаще всего использовали NTP- и DNS-серверы — в 85,8 тыс. и 80,9 тыс. случаев соответственно во втором квартале 2020 года, говорится в отчете Nexusguard. [3]

Данные Qrator Labs

Каждый четвертый банк РФ сталкивался с DDoS-атаками в 2015 году

8 июня 2020 года компания Qrator Labs сообщила о росте числа DDoS-атак в мире и России, в частности [4] .

DDoS-атаки в России по качеству опережают подобные вредоносные кампании в мире на 1-1,5 года, именно поэтому жертвами таких «мусорных» кибератак чаще становятся российские банки и финансовые организации.

По мнению эксперта, в мире наблюдается рост числа инцидентов с использованием DDoS-атак. В 2015 году количество таких кампаний возросло на 18%. В России ситуация обстоит гораздо хуже. Согласно результатам исследования Qrator Labs, в 2015 году каждый четвертый российский банк столкнулся с этой проблемой (согласно сведениям Банки.ру на 15 июня 2020 года в РФ действуют 733 банковских учреждения — прим. TAdviser).

По сравнению с 2014 годом, рост числа DDoS-атак на финансовые учреждения — 50%, на предприятия сектора электронной коммерции — 70%, туристической сферы – 150%. Самым атакуемым стал рынок недвижимости, здесь число DDoS-атак возросло на 170%.

Согласно отчету компании Imperva, в первом квартале 2020 года усилилась активность DDoS-ботнетов. Злоумышленники чаще используют имитирующие работу браузеров DDoS-боты, которые могут обходить системы безопасности с настройками «по умолчанию».

Угрозы 2015 года в онлайн-ритейле

23 декабря 2015 года компания Qrator Labs сообщила о результатах ноябрьского 2015 года исследования агентства 42Future по заказу Qrator Labs, в результате которого проведен опрос двадцати крупных онлайн-ритейлеров на тему «DDoS-атака и ее последствия».

В документе представлены тренды киберугроз в индустрии онлайн-ритейла, выявленные специалистами Wallarm (Валарм) Онсек (Onsec) и Qrator Labs.

В результате опроса представителей 20 крупных онлайн-ритейлеров РФ в ноябре 2015 года, на вопрос — сталкивались ли с DDoS-атаками за последний год, четверть опрошенных подтвердили — сайты компаний подвергались DDoS-атакам в течение 2015 года. При этом 40% респондентов допускают, что их атаковали, но компания атаку не регистрировала. В частности, так может происходить потому что компания использует внешние средства противодействия DDoS-атакам, работающие эффективно.


Оценка мотивов атаки

По мнению участников опроса, DDoS-атаки представляют собой серьёзную угрозу для их бизнеса — об этом сообщили 65% респондентов. Почти все использовали формулировку «очень серьёзна» или «серьёзна» при ответе на вопрос о значительности киберугрозы.

Компании, которые подвергались DDoS-атакам и не использовали средства противостояния, отметили значимость финансовых потерь для бизнеса, которые они понесли в результате нападения.

Все опрошенных имеют мнение о причинах организации атак на их бизнес:

  • подавляющее большинство считают основным мотивом заказчиков подобных нападений недобросовестную конкуренцию
  • одна пятая опрошенных отметила — атаки могут быть инициированы с целью нанесения убытков по разным причинам, в том числе личным мотивам (месть, неприязнь и т.п.).
  • шантаж — так определили мотивы атак 45% опрошенных
  • развлечение — мнение 10% респондентов.

Все без исключения участники опроса подтвердили наличие средств постоянной защиты от DDoS у компаний, их постоянное использование:

  • 90% опрошенных используют решения сторонних поставщиков.
  • 10% — собственные разработки для этих целей.

Компании редко полагаются на защиту, предоставляемую провайдером телекоммуникационных услуг. Некоторые из опрошенных отметили — специальные средства предоставляет партнёр, системный интегратор, с которым сотрудничает компания по вопросам, связанным с ИТ.

Программные средства противодействия DDoS использует 50% опрошенных компаний, 35% — аппаратные. Остальные 15% не уточнили, какого типа решения используются. При этом 95% заявили об удовлетворенности выбранными решениями и уровнем защиты.

Мастер Йода рекомендует:  Как подготовиться к собеседованию на должность программиста

DDoS в сегменте малых и средних компаний онлайн-ритейла РФ

По наблюдениям специалистов Qrator Labs, в сегменте малого онлайн-ритейла ситуация сложилась противоположная: небольшие интернет-магазины в большинстве своём не используют средства противодействия DDoS-атакам.

Как заявила компания, DDoS как инструмент нечестной конкурентной борьбы активно применяется в этом секторе рынка в силу своей эффективности и доступности. Некоторые небольшие компании, испытав DDoS-атаку и потеряв деньги, пытаются заниматься разработкой собственных средств противодействия. При этом, как правило, используются устаревшие алгоритмы и неэффективные приёмы фильтрации, которые ведут к отключению реальных клиентов вместо ботов.

Крупные онлайн-ритейлеры относительно редко подвергаются DDoS-атакам, отметила Qrator Labs — -в среднем не более десятка раз за год. Однако, рост их количества в среднем на одного клиента Qrator Labs в 2015 году по сравнению с 2014 составил около 50%.

Исключение составляют периоды сезонной активности и распродаж. В это время нагрузки на сетевые ресурсы ритейлеров растут в результате наплыва покупателей. По данным Qrator Labs, объёмы «живого» трафика в среднем вырастают в такие дни вдвое.

Тренды 2015 года в области DDOS и интернет-безопасности в России и в мире

Сложность атак растет. Хакеры комбинируют различные подходы, прибегая одновременно к DDoS-атакам и атакам на уязвимости приложений.

Главное наблюдение 2015 года — понижение пиковых скоростей DDoS-атак, что, впрочем, не придает оптимизма — поскольку компенсируется ростом их сложности.

Если ранее злоумышленники, как правило, ограничивались одним видом DDoS, то сегодня атаки носят мультивекторный характер (то есть могут быть направлены сразу на несколько сетевых уровней и элементов инфраструктуры), становятся комплексными.

Хакеры наращивают сложность и объединяют DDoS с `взломом`, т.е. атаками на уязвимости приложения. В 84% случаев атака DDoS сопровождается попытками взлома сайта. Таким образом, средства, обеспечивающие только защиту от DDoS, сегодня оказываются недостаточными для обеспечения доступности интернет-ресурса.

Тем не менее, компаниям с комплексным подходом к организации системы противодействия атакам повышенной сложности удается нейтрализовать данные риски вполне успешно (см. кейс платёжного сервиса QIWI ниже в главе `Комбинированные атаки`).

Минимальная стоимость и простота реализации атак.

Устроить DDoS атаку еще никогда не было так дешево: это мероприятие сегодня стоит от $5 в час. Как результат — по сравнению с 2014 годом среднее количество атак на один сайт в 2015 году увеличилось в два раза. Злоумышленники активно используют облачных провайдеров для быстрого получения ресурсов, в том числе бесплатно, с использованием бонусных и триальных программ.

Схожая картина с хакерскими атаками. Благодаря доступности инструментов для поиска и эксплуатации уязвимостей, успешные атаки во многих случаях уже не требуют серьезной экспертизы: за атаками все чаще стоят не профессиональные хакеры, а `середнячки`, которые ищут и эксплуатируют известные уязвимости готовыми инструментами, руководствуясь статьями и видео инструкциями.

Основным вызовом с точки зрения защиты от DDoS стали атаки на уровне приложений (L7).

В 2015 году участились атаки на уровень приложений (L7), которые часто сопровождают DDoS-атаки на канальный уровень (L2). Защита от DDoS-атак на уровне приложений — наиболее сложный случай, требующий максимальной экспертизы и скорости реакции на изменение вектора атаки. При этом хакеры используют интеллектуальные автоматизированные средства, которые исключают возможность противодействия отдельным специалистом на стороне обороны. Сегодня можно говорить о том, что эффективно противостоят DDoS только системы, работающие на основе алгоритмов машинного обучения. Системы, работающие под контролем человека-оператора не в состоянии справиться с современными многовекторными атаками в режиме реального времени без существенных перерывов в обслуживании пользовательского трафика.

Наиболее частым вектором хакерских атак, направленных на `взлом` сайта по-прежнему являются уязвимости типа `SQL-инъекции`. Массовые атаки перебора стали новым вызовом.


Наиболее популярными атаками по-прежнему являются атаки на уязвимости типа SQL-инъекций (37,75% от общего числа атак), когда из-за специальным образом сформированного запроса можно выполнить произвольный запрос к базе данных приложения. Простые в реализации за счет автоматизированных инструментов, они открывают злоумышленникам прямой доступ к базам данных ресурса. Для обхода защитных решений все чаще используют различные способы обфускации (маскировки) вредоносных запросов, что оказывается эффективным в случае WAF’ов, не учитывающих структуру и специфику приложений. В прошедшем году серьезно увеличилось количество атак перебора, в том числе направленных на перебор паролей (21,85%). В России это особенно коснулось интернет-ритейлеров, где злоумышленники в массовых количествах получали доступ к учетным записям, используя базы `логин-пароль`, утекшие из других ресурсов.

Различные группы используют техники массового сканирования интернета.

Массовые сканирования всего интернета перестали быть уделом Google и других поисковых гигантов, и теперь с различными целями осуществляются разными группами людей. Злоумышленники пытаются найти веб-ресурсы, маршрутизаторы, устройства IoT с известными уязвимостями для быстрого и автоматизированного захвата контроля. Эти ресурсы в дальнейшем активно используются для реализации мощных DDoS-атак, анонимизации, майнинга криптовалют и т.д.

Qrator Labs нейтрализовала 9 347 DDoS-атак в первой половине года

В первой половине 2015 года Qrator Labs с помощью собственного одноименного сервиса нейтрализовала 9 347 DDoS-атак. В аналогичном периоде 2014 года эта цифра составила 2 715. Рост общего числа атак обусловлен как ростом клиентской базы компании, так и существенным повышением активности киберпреступников. Максимальное число атак в день, нейтрализованных сетью фильтрации трафика Qrator, увеличилось с 38 в первом полугодии 2014 до 109 в 2015 году. Также выросло и среднее количество DDoS в день — c 15 до 51, соответственно.

Максимальный размер ботнета, задействованного в атаке, уменьшился с 420 489 до 162 528 машин, а максимальная длительность атаки увеличилась с 91 дня в 2014 году до 122 дней в 2015. Увеличилась также доля Spoofing-атак – с 1 557 до 6 065. Это атаки, в которых вместо IP-адреса реального пользователя подставляется фальшивый.

По сравнению с первым полугодием 2014, в аналогичном периоде 2015 года число атак со скоростью более 1 Гб/с выросло со 198 до 276. Увеличилось количество и высокоскоростных атак – более 100 Гб/с – с 45 до 67, соответственно.

Наметился тренд по уменьшению количества амплификаторов в сети благодаря действиям операторов связи по противодействию данной угрозе. Однако, вопреки прогнозам, этого пока недостаточно, чтобы сократилось число атак с применением амплификаторов. Их всё равно еще слишком много и достаточно для организации атаки полосой в несколько сотен гигабит в секунду. Под амплификатором понимается UDP-сервер, работающий без авторизации, который на небольшой запрос способен посылать в разы больший ответ. Для его использования злоумышленник подделывает адрес отправителя UDP-пакета, подставляя адрес атакуемого сервиса. В результате хакер посылает небольшие пакеты, не очень нагружая свои каналы, а амплификатор отвечает в разы большими в адрес атакуемого сервиса.

Снова появилась тенденция по увеличению числа DDoS-атак на веб-приложения на уровне L7 сетевой модели OSI с использованием классических ботнетов. Такой ботнет может по удалённой команде выполнять сетевые атаки без ведома владельцев зараженных компьютеров. Если раньше ботнеты использовались в основном для рассылки спама, майнинга криптовалют и выполнения примитивных DDoS-атак, то сегодня они стали более серьёзной угрозой безопасности. По прогнозам Qrator Labs, подобных атак в ближайшее время станет еще больше.

Объемные DDoS-атаки стали проводиться все реже, но иногда они опять возвращаются. Яркий пример – атаки с использованием серверов WordPress.

В первой половине 2015 года компания Wallarm (Валарм) Онсек (Onsec) зарегистрировала на 37,8% больше атак на уровень приложений, чем за аналогичный период 2014 года.

Показатель средневзвешенного числа атак на один веб-проект в день также увеличился с 47 до 89 атак. Эта цифра показывает количество автоматизированных инструментов (сканеров), выполняющих анализ в Интернете в непрерывном режиме. Таким образом, можно говорить об увеличивающейся «агрессивности» сети по отношению к сайтам.

Среднее число уязвимостей, обнаруженных Wallarm в первый месяц после подключения нового клиента, увеличилось с 5 до 7 штук. При этом доля критических уязвимостей из них, как и в прошлом году, в среднем составляет 2.

Доля проектов, где за первый месяц не было обнаружено ни одной уязвимости, как и в прошлом году, не превысила 2%.

Зоны риска взломов по отраслям, по сравнению с 2014 годом, выглядят иначе. На первое место выходит игровая индустрия, а лидер прошлого года — электронный банкинг — опустился на 4 позицию.

Рекламные сети испытывали пик интереса со стороны хакеров в 2005-2008 годах. В первом полугодии 2015 эта отрасль сместилась с 5 на 2 позицию. Злоумышленники питают особый интерес к СРА ввиду своей безопасности. Сама партнерская сеть, будучи взломанной, не несет экономические потери, а, напротив, только выигрывает. Хакер, получив доступ к базе данных партнерской сети, увеличивает число показов для своих сайтов. Таким образом, взломщик повышает свои выплаты, не оказывая на самом деле услугу показа рекламных материалов на эту сумму. Система получает комиссию, а расплачиваться за все приходится рекламодателю. Получается интересная ситуация – если произошел взлом СРА сети, то пострадали ее рекламодатели, а сама сеть только заработала больше. Разумеется, в долгосрочной перспективе это несет репутационный ущерб сети, но до этого времени может пройти несколько лет.

Аналитики Qrator Labs прогнозируют, что количество DDoS-атак вырастет на 20%. Эксперты отмечают, что выросли средние и максимальные размеры ботнетов. И хотя число атак класса DNS/NTP Amplification (ранее занимавшие 50% в структуре атак) снизилось, то теперь злоумышленники акцентируют внимание на сетевой инфраструктуре провайдеров.

В 2015 году эксперты компании предсказывают рост количества атак на ресурсы, использующие облачную инфраструктуру (в том числе Amazon Web Services), взлом и заражение устройств Internet of Things — Интернета вещей, появление новых уязвимостей SSL, а также атаки на базы данных NoSQL.

Неблагоприятные тенденции в экономике также найдут свое отражение в статистике DDoS-атак. DDoS может стать инструментом мести за увольнение или же число атак может увеличится из-за новых сотрудников департаментов ИТ, не имеющих достаточного опыта.

Также ожидается, что российские компании последуют курсом импортозамещения и будут приобретать решения отечественных вендоров, сертифицированных ФСТЭК и ФСБ.

2014: «Лаборатория Касперского»: новый скачок DDoS-атак весной

«Kaspersky (ранее Лаборатория Касперского)» зафиксировала весной 2014 года новый скачок мощности DDoS-атак в рунете. Во время весенней «кампании» злоумышленников, избравших в качестве своей цели сразу несколько ведущих российских банков, крупных компаний и государственных учреждений, средняя мощность атаки составляла 70-80 Гбит/с. Год назад самая мощная DDoS-атака в рунете не превышала порога в 60 Гбит/с.

В антивирусной компании считают, что увеличение мощности DDoS-атак стало следствием распространения среди киберзлоумышленников нового метода NTP Amplification. Атаки этого типа имеют коэффициент усиления до 556 раз. Для сравнения, нашумевшие год назад атаки типа DNS Amplification имеют коэффициент усиления в 10 раз меньше — до 54 раз.

Именно атаки типа NTP Amplification наряду с широко распространенными SYN Flood применялись киберпреступниками во время весенней волны DDoS-атак, затронувшей крупнейшие банковские структуры России, в том числе Альфа-Банк и ВТБ24, федеральные министерства, одну из крупнейших российских авиакомпаний «Аэрофлот», телеканал Russia Today и другие организации. В пиковые моменты мощность атак доходила до 120 Гб/с.

Жертвами DDoS-атак за 2013-2014 годы (октябрь-ноябрь) стали 52% российских компаний, онлайн-сервисы которых критичны для бизнеса – среди них интернет-магазины, СМИ и финансовые учреждения. Таковы результаты исследования, проведенного «Лабораторией Касперского» совместно с компанией B2B International. Это свидетельствует о том, что атаки типа DDoS набирают популярность и уже стали привычным явлением для интернет-бизнеса.

Количество пострадавших варьируется в зависимости от географической принадлежности и сферы деятельности компаний. В России в список наиболее страдающих от DDoS-атак отраслей входят финансы, электронная коммерция и СМИ. Так, среди финансовых организаций 42% опрошенных сообщили, что столкнулись с подобными инцидентами за последний год.

Последствия DDoS-атак могут быть различными в зависимости от их мощности и длительности. Даже если злоумышленникам не удается полностью лишить пользователя доступа к информационным ресурсам компании, их частичная недоступность также является серьезной проблемой. Почти половина респондентов (43%) заявили, что атакованный сайт был недоступен в течение нескольких часов, а 19% опрошенных отметили недоступность веб-ресурса в течение двух дней.

12 марта 2015 года «Лаборатория Касперского» и B2B International поделились результатами исследования размеров убытков в результате DDoS-атаки на онлайн-ресурс компании [5] .


% компаний, столкнувшихся с разновидностями DDOS-атак за 12 месяцев, 2015

Согласно этому исследованию, в котором приняли участие 3,9 тыс. респондентов из 27 стран, убытки могут составить в среднем от $52 тыс. до $444 тыс., в зависимости от размера компании. К расходам по устранению последствий подобных атак добавляются репутационные потери и издержки, вызванные недоступностью публичного онлайн-ресурса для партнеров и клиентов.

Рассчитанная экспертами сумма убытков включает несколько статей:

  • 61% пострадавших компаний временно теряли доступ к критичной для бизнеса информации из-за DDoS-атаки,
  • 38% не имели возможности продолжать основную деятельность,
  • 33% сообщили об упущенных бизнес-возможностях и контрактах.

Кроме того, в 29% случаев успешные атаки негативно сказались на кредитном рейтинге, у 26% компаний выросли страховые взносы.

В среднюю сумму ущерба от DDoS-атаки вошли расходы на устранение последствий инцидента. Например, 65% компаний вынуждены были воспользоваться услугами консультантов по информационной безопасности, 49% оплачивали работы по изменению собственной ИТ-инфраструктуры, 46% обращались к юристам, 41% — к консультантам по риск-менеджменту. И это только самые распространенные статьи расходов.

«Успешная DDoS-атака может вывести из строя критически важные для бизнеса сервисы, что влечет за собой серьезные последствия для компании. Например, мы фиксируем случаи, когда атаки на банки приводили не только к нарушению работы онлайн-сервисов в течение нескольких дней, но и к перебоям в обслуживании банковских карт и нарушению работы банкоматов», — рассказал «Российской Газете» менеджер направления Kaspersky DDoS Prevention «Лаборатории Касперского» Алексей Киселев.

По мнению экспертов, со второй половины 2014 года DDoS-атаки стали средством борьбы с конкурентами: «Стоимость атаки не велика, контакты исполнителей легко можно найти, при этом заказчик, как правило, остается неузнанным. Так, начиная с сентября 2014 года количество обращений к нам со стороны организаций, подвергшихся подобного рода атакам, сильно возросло, чего не наблюдалось ранее. Также на рост подобных атак, безусловно, влияет политическая ситуация в стране и в мире и возможные попытки сэкономить на решениях по безопасности в условиях кризиса», — добавляет руководитель направления Kaspersky DDoS Prevention «Лаборатории Касперского» Евгений Виговский.

НАИРИТ: Число DDoS-атак на объекты в РФ в 2013 г. выросло на 178%

Количество DDoS-атак на государственные и коммерческие инфраструктурные институты России в 2013 г. выросло на 178%, тогда как в прежние годы их темпы роста не превышали в среднем 15%, согласно данным Национальной ассоциации инноваций и развития информационных технологий (НАИРИТ).

Доклад об угрозах информационной безопасности объектов инфраструктуры российской экономики был подготовлен экспертами НАИРИТ совместно с Институтом системного анализа РАН и Институтом социально-экономической модернизации. Результаты исследования были доложены на заседании комиссии Государственной думы РФ по развитию стратегических информационных систем.

Как следует из доклада, общий объем потерь отечественной экономики от попыток незаконного электронного вмешательства за 2013 г. превысил 1,3 трлн руб.

Количество DDoS-атак на банки и финансовый сектор в 2013 году выросло на 112% по сравнению с 2012 годом. Об этом рассказала президент Национальной ассоциации инноваций и развития информационных технологий Ольга Ускова в ходе «круглого стола» в Госдуме на тему «Проблемы развития стратегических информационных систем в банковской и финансовой сферах. Законодательные аспекты».

Ранее количество DDoS-атак на финансовый сектор росло умеренными темпами. В 2012 год показатель вырос всего на 11%, в 2011 году — на 8%.

Kaspersky DDoS Prevention: усиление мощности атак в России и увеличение их продолжительности

Специалисты «Лаборатории Касперского» подвели осенью 2013 года итоги DDoS-активности в Рунете за последние 12 месяцев. Сравнив данные, полученные с помощью защитного сервиса Kaspersky DDoS Prevention и собственной системы мониторинга ботнетов во втором полугодии 2012 года и первой половине 2013 года, эксперты выявили две тенденции: усиление мощности атак и увеличение их продолжительности.

Так, во второй половине 2012 года средняя мощность атаки составляла 34 Мб/с, а в начале этого года планка поднялась до 2,3 Гб/с. При этом максимальная мощность атак в этом полугодии доходила до 60 Гб/с «благодаря» набирающим в этому году популярность атакам типа DNS Amplification. Для сравнения: максимальная мощность DDoS-атаки во втором полугодии 2012 года составила всего лишь 196 Мб/с.

Продолжительность DDoS-атак в Рунете также выросла в текущем году. Если в прошлом отчетном периоде специалисты «Лаборатории Касперского» установили, что средняя атака на защищаемые сервисом Kaspersky DDoS Prevention ресурсы длилась 7 часов, то в 2013 году они отметили, что этот показатель вырос до 14 часов.

Как свидетельствуют данные, полученные экспертами «Лаборатории Касперского» на основе срабатывания сервиса Kaspersky DDoS Prevention, большинство ботов или хостов, атакующих веб-ресурсы Рунета, расположены непосредственно на территории России (около 44%). Немалая часть атак также «приходит» в русскоязычное интернет-пространство из США (около 7,5%) и с Украины (чуть больше 5%). В целом из 10 стран, занявших верхние строчки этого нерадостного рейтинга, 7 находятся в Азии.

Злоумышленники, чтобы обеспечить недоступность ресурса и заработать деньги, используют различные виды атак, зачастую их комбинируя. Большинство видов атак воздействуют только на конкретный ресурс. Но в погоне за наживой злоумышленники готовы применить инструмент, способный сделать в Интернете недоступным все, что угодно: от отдельного провайдера до сегмента сети. Это своего рода виртуальное оружие массового поражения.

Распространение атак типа DNS Amplification и усиление мощности и размаха DDoS-инцидентов позволяет специалистам говорить о смене тенденции: судя по всему, Рунет перестает быть своего рода «заповедником», где мощные атаки были редки, а интернет-провайдеры и хостеры могли обходиться без интеллектуального контроля трафика. Отличие показателей по DDoS-активности в Рунете и в остальном интернет-мире стремительно сокращается.

Мастер Йода рекомендует:  Итераторы и простые генераторы Python

Снижение прибыльности DDoS-атак

Эксперты по информационной безопасности отмечали, что количество `чистых` DDoS-атак как средства кибернападения в России в 2012 году уменьшалось. Они связывают это со снижением их прямой прибыльности для преступников. Предполагается, что в ближайшие год-два эти атаки переместятся в сферу политики, как внутренней, так и внешней, где и будут в `чистом` виде преимущественно применяться.

Основным же способом использования DDoS-атак станут комплексные кибератаки, среди которых наибольшую опасность для атакуемых представляют так называемые Advanced Persistent Threats — целенаправленные многоплановые продолжительные угрозы. Сегодня разновидности таких атак доказывают свою разрушительность в сфере дистанционного банковского обслуживания, где DDoS-атаки используются как `дымовая завеса`, блокирующая взаимодействие банка и жертвы в процессе проведения атаки и выигрыша времени атакующими для успешного завершения кражи денег и принятия мер к заметанию следов.

Что думают о DDos-атаках в России

Еженедельник PC Week/RE провел весной 2012 года среди своих читателей опрос с целью выяснить, насколько корпоративные компьютерные пользователи России нуждаются в защите от DDoS-атак.

Более половины (56%) ответивших считают, что защита им нужна, и готовы организовать ее на стороне своей корпоративной сети передачи данных. Примерно 25% опрошенных предъявили еще более высокие требования к защите от DDoS-атак — они хотят иметь ее как на своей стороне, так и на стороне обслуживающего их оператора связи. Около 5% принявших участия в опросе представителей российских компаний хотят потреблять эту защиты в виде услуги и всецело полагаются в ее организации на силы внешних провайдеров.


По результатам опроса можно сделать однозначный вывод, что защита от DDoS-атак российским компаниям нужна — ведь только 12% принявших участие в опросе готовы отказаться от нее (оставшиеся 2% респондентов пока еще не определились с этим). Существенно, что 59% опрошенных работают в крупных (по российским масштабам) структурах, в которых количество компьютеризированных рабочих мест превышает 500; 32% респондентов опроса представляли фирмы с количеством рабочих компьютеров от 25 до 500; 9% участников опроса относятся к сегменту небольших организаций с количеством компьютеров менее 25. Наибольшую активность в опросе проявили госслужащие — их 63%; 29% участников из частного сектора; оставшиеся 8% респондентов работают в структурах с иной формой собственности.

Сервис защиты
от DDoS-атак

О сервисе

Anti-DDoS нейтрализует хакерские атаки на ваши сайты, онлайн-приложения и сервисы, сохраняя их полную доступность для пользователей. Сервис доступен любым организациям, в том числе со сложной территориально распределенной инфраструктурой. Переход на сервисную модель позволит отказаться от затрат на персонал и дорогостоящее оборудование.

Что такое DDoS-атака

DDoS-атака — это атака на веб-ресурс с целью вывести его из строя. Множество вредоносных запросов от зараженных устройств перегружают сайты, приложения и сервисы, ограничивая доступ к ним пользователей. Атаки ставят под угрозу конфиденциальность персональных и финансовых данных компании и клиентов, могут заразить хосты и вывести из строя оборудование.

После подключения сервиса весь трафик обрабатывается на территории России, что гарантирует сохранность данных компании и клиентов

Архитектура сервиса позволяет быстро подключать новые офисы без дополнительных затрат и сложных технических решений

Фильтрация атаки не влияет на доступность инфраструктуры и приложений для пользователей

DDoS-атака: что это такое и как мы боролись с хакерами

21 октября наш сервис подвергся DDoS-атаке. Это была самая крупная атака за последние несколько лет. Из-за нее некоторые сайты были недоступны, но благодаря вашей поддержке и непрекращающейся работе нашей команды, мы смогли отбиться от атаки. В этой статье наш технический директор Егор Курьянович рассказал, что такое DDoS-атака и как мы с ней боролись.

Что такое DDoS-атака

Представьте, что кто-то захотел нарушить работу автобусов. Тысячи человек садятся в начале маршрута и бесцельно катаются по городу от конечной до конечной, не выходя на остановках. Транспорт продолжает ездить, но фактически движение парализовано. Жители стоят на промежуточных остановках и грустно смотрят вслед переполненным автобусам, не сумев протолкнуться. Люди не могут добраться домой, автобусная компания терпит убытки из-за низкого пассажиропотока. Зато злоумышленники потирают ручки, а владельцы такси считают прибыль.

В реальном мире такую ситуацию практически невозможно претворить в жизнь. В интернете похожим образом хакеры парализуют работу сайтов с помощью DDoS-атак.

Аббревиатура DDoS расшифровывается как Distributed Denial of Service, что в дословном переводе означает «Распределенный отказ от обслуживания». Это означает, что на сервер поступает слишком много запросов с разных компьютеров. Он не выдерживает такого наплыва посетителей и отключается. Сайт, на который направлена атака, недоступен.

Любой сайт — это набор файлов, которые лежат на специальном сервере. В упрощенном виде сервер — это очень мощный компьютер. Он соединен с другими компьютерами в сеть. Это значит, что один компьютер может отправить другому сообщение, а тот может ответить. Например, вы хотите зайти на сайт vigbo.com. Когда вы набрали адрес в поисковой строке и кликнули на ссылку, ваш компьютер отправил нашему серверу запрос «Покажи мне главную страницу vigbo.com». Сервер его получил, обработал и отправил вам в ответ информацию о странице.

Современные серверы могут одновременно обрабатывать сотни таких запросов. На каждый из них уходит примерно полсекунды, поэтому обычно вы даже не замечаете, как открывается сайт. Но у любого компьютера есть ограничения в мощности. Если одновременно приходит больше запросов, чем он может обработать, они ставятся в очередь. Тогда сайт откроется с задержкой. Постепенно очередь из запросов станет слишком длинной, и у сервера не хватит мощности. Значит, перестанут открываться все сайты, которые на нем лежат.

В чем особенности DDoS-атаки

Если кто-то будет со своего компьютера перезагружать любую страницу сайта тысячу раз в секунду — это тоже хакерская атака. Она называется DoS — Denial of Service, «отказ в обслуживании». Но с ней можно эффективно бороться. Достаточно заблокировать злодея. Поэтому сейчас атаки совершают сразу с миллионов устройств. Так найти ее источник очень сложно. К названию добавилось слово распределенная — Distributed, DDoS.

Схема распределенной DDoS-атаки на сайт

Осталось разобраться, где злоумышленники берут столько устройств. Вы удивитесь, но чаще всего это компьютеры обычных людей. Хакер создает вирус, который попадает на компьютер из интернета при загрузке файлов, просмотре роликов и страниц. Такой вирус незаметно живет и ждет команды. Например, в определенное время подключиться к какому-то сайту. Тогда все зараженные компьютеры начнут одновременно отправлять запросы на сайт-жертву. При этом их владельцы ничего не заметят: так кто угодно может оказаться невольным соучастником.

Почему хакеры атакуют сайты

Заказ конкурентов. Например, если атака началась во время активной рекламной кампании. Конкуренты заказывают DDoS, реклама идет, а прибыли нет из-за перебоев в работе сайта. Еще атака может использоваться, чтобы нанести урон репутации. Допустим, идут напряженные переговоры, и в день презентации партнеры заходят на сайт, а там — 503 ошибка, отказ в обслуживании.

DDoS-атака приводит к тому, что сайт работает очень медленно или «лежит» совсем. Пользователи не могут зайти на сайт и уходят к конкурентам, у которых все хорошо. В результате владелец сайта теряет клиентов. Поэтому чаще всего атаки связаны с бизнесом. Вероятно, атака, которой подвергся наш сервис, совершена по этой причине — кто-то из конкурентов «заказал» сайт архитектурного бюро.

Личная неприязнь. Владелец сайта может кому-то насолить, и в ответ хакер стремится доставить ему неприятности. Сюда можно отнести и случаи, когда поводом для атаки становятся политические разногласия.

Развлечение. Иногда хакеры устраивают атаки, чтобы попробовать свои силы, просто развлечься или продемонстрировать сообществу свои возможности. Хороший пример — хакерская атака в сентябре 2020 года на Википедию, онлайн-игру World of Warcraft Classic и сервис для онлайн-стримов Twitch.

Как мы отразили атаку

Началось все с того, что утром 21 октября на сайте одного нашего клиента мы заметили необычайно высокую активность. Тысячи поисковых роботов стали заходить на сайт студии дизайна интерьеров. Из-за этого все сайты, которые лежали на одном сервере с атакуемым, стали медленно открываться. Стало понятно, что под поисковых роботов маскируются злоумышленники — мы подверглись DDoS-атаке.


Заблокировать роботов дело нехитрое, но помогло это примерно на час. Противники поняли, что что-то не так, и сменили тактику. Мы стали получать запросы, которые маскировались под пользователей: в них была информация о браузерах и их нельзя блокировать. Поэтому мы пытались блокировать сразу IP-адреса — уникальные адреса компьютеров, с которых посылались подозрительные запросы. Но наши оппоненты быстро их меняли и направляли еще больше запросов со всего мира.

Запросы сыпались со всего мира. Чем темнее окрашена страна на карте, тем больше запросов оттуда мы получали

Особенно много запросов было из Таиланда, Индонезии и Голландии

Так война продолжалась до вечера. Несмотря на мощь «вражеской артиллерии», совсем «положить» сервер хакерам так и не удалось. Но нагрузка на него была колоссальной, поэтому сайты очень долго открывались.

К восьми часам вечера количество заблокированных адресов перевалило за тысячу. Наших собственных ресурсов стало не хватать. Поэтому мы решили для фильтрации запросов подключить сторонний сервис CloudFlare. Сервис действует как сито: весь трафик проходит через их центры и фильтруется — боты и подозрительные аккаунты блокируются, а простые пользователи спокойно доходят до сервера, на котором хранится сайт. Так атакуемый сайт будет меньше влиять на работу остальных сайтов на сервере.

CloudFlare пропускает весь трафик через свой сервер и блокирует вредоносные запросы

К счастью, клиент, на сайт которого шла атака, покупал домен у нас и делегировал права на управление им нашей платформе. Поэтому мы смогли оперативно внести изменения в настройки и создать аккаунт в CloudFlare.

Мы увидели, что до нашего сервера доходит все меньше и меньше запросов. Сайты стали оживать, а основной бой был уже на стороне CloudFlare.

Опыт DDoS-атаки показал, что если клиент покупает доменное имя в Vigbo, у наших специалистов есть больше возможностей для защиты сайта.

Атаки продолжались до 5 утра. Самый пик пришелся на 2 часа ночи по московскому времени. CloudFlare зафиксировал 124,5 миллионов запросов. Но мы подключили его не сразу, поэтому реальный масштаб атаки примерно в два раза больше!

Данные CloudFlare о трафике на 5 утра 22 октября

В 6 часов утра наши оппоненты предприняли еще одну попытку: на сайт пришли около 1,3 миллиона ботов. Но на фоне вчерашней битвы эта попытка выглядит довольно бледно.

За время атаки CloudFlare обработал больше 1 ТБ трафика. Это очень много: примерно столько нужно, чтобы скачать копию всей «Википедии», 24 сезона мультсериала «Симпсонов» и 14 сезонов шоу «Разрушители легенд» с канала Discovery.

Интенсивность атаки и суммарный объем трафика, который успел обработать CloudFlare

Мы держали оборону ровно сутки. К 9 утра 22 октября ресурсы хакеров закончились, и количество ботов сошло на нет. Еще в течение суток мы продолжали следить за активностью.

Вместо заключения

К сожалению, хакерские атаки стали современной реальностью: конкуренция зашкаливает, и не все компании используют честные методы. Большинство атак вы даже не ощущаете. Мы успешно боремся с ними практически каждый день — это будничная, рутинная работа наших технических специалистов. Но в этот раз у атаки был совсем другой масштаб.

К сожалению, от таких атак не застрахован никто, и даже самые большие сайты иногда полностью выходят из строя. Иначе «гиганты» вроде Google или Amazon не объявляли бы периодические конкурсы на поиск уязвимостей с миллионными призами. Поэтому нам остается только накапливать компетенции и «точить оружие», чтобы в нужный момент отстаивать интересы наших клиентов.

У нас не находится достаточно теплых слов, чтобы выразить нашу признательность за ваше терпение и понимание. Поэтому мы просто говорим «Спасибо!» нашим клиентам, которые поддержали нас в трудный день 21 октября. Вы сказали много ободряющих слов в Инстаграме, на почте и в чате с техподдержкой. Благодаря вам и ради вас мы бились целые сутки и победили. Спасибо за то, что вы с нами!

Как мы отразили DDoS-атаку

Любые DDoS-атаки приводят к потере легитимного трафика, если говорить простым языком – к потере посетителей, как следствие клиентам и прибыли. Как правило, от атаки страдают сайты, принимающие электронные платежи, интернет-магазины, вот и мы не стали исключением. В декабре, в самый разгар предпраздничной торговли, впервые интернет-магазин подарков magicmag.net стал жертвой DDoS-атак, что сделало сайт недоступным для покупателей. Хорошо, что обошлось без утечки данных, но ситуация изрядно попортила нам нервы и лишила прибыли в размере несколько сотен тысяч рублей. Поэтому мы решили написать статью, для тех, кто может столкнуться с аналогичной проблемой.

Началось с того, 15 декабря на наш сайт посыпались запросы – тысячи ботов(зараженных устройств со всего мира) с различных IP-адресов отправляли запросы на наш сервер. Каждый бот стал выполнять запросы к своему DNS серверу с неподлинным обратным IP-адресом, который указывал на наш сервер.

Наш сервер довольно скоро не выдержал – он перестал отвечать на входящие вопросы и интернет-магазин стал недоступен. Цель – максимально загрузить ресурс интернет-магазина, чтобы на обработку запросов от легитимных пользователей у нас попросту не хватило мощности. Вначале мы подумали, кто это какой-то кривой код забил все свободное пространство и ресурсы и обратились к системным администраторам и программистам, которые почистили кэш, таблицы, освободили место, запустили сервер. Это помогло, но буквально на пару секунд.

Стали разбираться, оказывается место на сервере заполнялось, потому, что к сайту идут тысячи запросов – мы подверглись DDoS-атаке. Разработчики и сисадмины, покопались в логах сервера, на котором находится интернет-магазин, буквально за час-два собрался архив данных о том, когда и главное откуда к нам заходили посетители. Самое интересно, что подавляющее число запросов было с IP-адресов Таиланда и Румынии.

Общее количество запросов за 5 часов составило 145 млн.

Чтобы отразить атаку – мы пытались банить адреса и подсети, с которых приходили эти запросы, и на какое-то время это помогло. Через время нам пришло в ВК сообщение в секретном чате, в котором сообщалось, что с нами хотят сотрудничать и, если мы заплатим 50 тыс. руб. атаки прекратятся и они укажут нам на наши уязвимости. Это были словно отголоски из девяностых – принудительная оплата «крыши». Новый культурный интернет-рэкет… Не смотря на столь заманчивое предложение, мы вежливо отказались.

Воспользовавшись услугами наших IT-специалистов, мы отбили атаку, о чем не преминули сообщить в чат. Конечно, ранее мы никогда не сталкивались с атаками и не считали нужным как-то «предохраняться». У нас обычный интернет-магазин подарков, а не сайт Пентагона. Поэтому мы на ходу искали способы отбить атаку, так как опыта в этих вопросах у нас не было. Нам казалось, что мы справились, но это была ошибка – через несколько минут атака возобновилась с новой силой – запросов было в 40 раз больше. Через какое-то время сайт опять «лег».

После этого мы решили для фильтрации запросов подключить сторонний сервис – по рекомендации нашего администратора мы выбрали CloudFlare. Бесплатный пакет мы брать не стали, так как нам нужно было как можно быстрее запустить сайт.


Суть сервиса CloudFlare в том, что он брал трафик нашего интернет-магазина и пропускал его через свои центры, которые фильтровали запросы. Этот сервис использует Навальный для защиты от атак, а также такие известные компании, как Uber, Avito и многие другие.

Атака была нарастающей, изначально сисадмин банил подозрительные запросы вручную. Бан срабатывал согласно протоколу JavaScript Challenge – данный инструмент посредством математических вычислений проверяет, кто пытается зайти на сайт. Сайт во время проверки блокируется на пару секунд, после чего CloudFlare редиректит запросы на интернет-магазин, но только в том случае, если IP-адреса проходят проверку и получают статус безопасных. Мы решили не пользоваться бесплатным пакетом услуг сервиса и оплатили тариф Pro стоимостью 20 евро в месяц c кредитной карты, плюс мы заплатили 5 евро за выделенный IP-адрес.

Но на этом наше «приключение не закончилось» — несмотря на то, что атака была практически полностью отбита, сайт все равно работал некорректно. Постоянно вылезали какие-то ошибки. CloudFlare конфликтовал с SSL-сертификатом, который мы использовали для безопасной передачи информации по защищенному протоколу. SSL-сертификат не позволяет мошенникам перехватить или заменить личные данные (логины, пароли, данные банковских карт, адреса электронной почты) покупателей, которые они вводят в нашем интернет-магазине.

Кроме того, есть еще одна особенность – когда мы в настройках домена меняли NS адреса, изменения эти вступают в силу не сразу. На то, чтобы изменения вступили в силу, уходило не менее 4 часов.

Мы зашли в раздел «доменные имена», далее в «мои домены» и в разделе «сервера имен» нажали «изменить», после чего прописали новые NS адреса. Но мы не учли тот факт, что эта процедура может длится от 4 до 24 часов. Нас это не устраивало, и мы решили воспользоваться специальными настройками и уменьшить у регистратора время вступления изменений в силу. По умолчанию время стоит 12-24 часа, но вы можете задать любое нужное вам время вручную.

CloudFlare: да или нет

До подключения к CloudFlare мы отражали DDoS-атаки собственными силами, но увы, сервер интернет-магазина упал под напором запросов. Для защиты мы не использовали ничего, мы как могли освобождали пространство, но это не помогало. Поэтому мы приняли решение воспользоваться сервисом узкой направленности чья задача фильтрация трафика. И мы остановили свой выбор на CloudFlare. Но вместе сокращением атаки мы получили ряд проблем:

  • При возникновении конфликта CloudFlare с SSL-сертификатом мы не смогли связаться напрямую со службой поддержки. Да, есть форум, на котором можно что-то написать и подождать, когда тебе ответят, но это все время, а время, как известно это деньги. Кроме того, из-за атак и проблем с работой сайта мы рисковали своей репутацией.
  • Снижение показателей конверсии из-за ошибок сайта, а также из-за его замедленной «реакции».
  • Из-за оплаты посредством кредитной карты сервис автоматически списывал с нее деньги еще несколько месяцев — учтите этот момент и вовремя отмените подписку.
Мастер Йода рекомендует:  PHP функция для удаления определенных HTML-тегов и атрибутов PHP

Фильтрация и сервис CloudFlare оказался для нас не подходящим и нерентабельным – да, изначально это был выход, но потом нас это не устроило. В первую очередь из-за отсутствия возможности оперативно решать проблемы и отсутствием технической поддержки. Поэтому мы обратили внимание на российский сервис – Qrator.
Большим плюсом стала круглосуточная телефонная служба поддержки. Менеджеры быстро, грамотно и без ожидания помогли нам настроить фильтрацию трафика буквально в течение получаса.

✔ Автоматическая смарт-фильтрация трафика – сервис фильтрует зашифрованный трафик без нашего участия.

✔ Быстрое подключение сайта к сервису – стар работы сразу после замены DNS интернет-магазина.

✔ Бесплатный тестовый период – 7 дней, если ваш сайт находится под DDoS – атакой, тогда тестовое время составляет 1 сутки.

✔ Защита в том числе и от атак по IP-адресам, для этого мы закрыли доступ к нашему сайту со всех адресов, кроме указанных Qrator.

✔ Русскоговорящая поддержка по телефону, которая помогает все быстро настроить.

Благодаря Qrator мы отбили атаку и никаких денег мы не платили, когда они поняли, что им не выгодно далее нас атаковать и буквально на следующий день принялись за конкурентов. У них цель заработать на тех, у кого нет должных знаний в области безопасности, поэтому уже много лет кибер-преступники имеют традицию перед новым годом «предлагать помощь» за весьма приличные деньги. Так как мы прошли все круги ада, то конечно же рассказали конкурентам как справится с данной проблемой, у них по нашей схеме ушло на это около пары часов.

Вывод

Интернет-магазин работает и наш, и конкурентов, кибер-злодеи остались ни с чем.

Qrator куратор помог отбить атаку, но на постоянной основе мы не используем данный сервис в виду отсутствия экономической выгоды — постоянная защита стоит не мало.
Кстати, QRATOR тарифицирует свои услуги по трафику, так что если вы хотите неплохо сэкономить — вам нужно разнести на разные сервера «статику» (фотки, например) и динамику (код) сайта и настроить фильтрацию только на код. Это позволит снизить цену в несколько раз.

Цель данной статьи рассказать вам как в случае DDoS – атаки быстро и с минимальными потеря, используя наш опыт отбиться от атаки, не потерять репутацию, прибыль и не растерять клиентов. Да, наши потери составили несколько сотен тысяч рублей, и вы могли подумать, что выгоднее было заплатить 50 тыс. Мы же придерживаемся мнения, что никогда нельзя платить шантажистам, так как те, кто платит раз, будут платить постоянно.

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

145 млн. запросов за 5 часов это примерно 8 тыс. запросов в секунду. Это для любого сервиса защиты от DDoS несущественная нагрузка по большому счету. qrator хороший сервис, но, судя по тексту, вы просто воспользовались демо-периодом бесплатно и ничего не платили? qrator это совсем не бюджетно для небольшого интернет-магазина. Есть много сервисов типа ddosoff.ru, ddos-guard.net и прочих, где за 2-3 тыс. можно подключить защиту. И это существенно дешевле, чем несколько дней тратить на самостоятельную борьбу с атаками и терять деньги с заказов.
И не обязательно было менять NS-сервера. Достаточно было сменить A-записи домена на защищенные IP — это гораздо быстрее.

145 млн заходов. Запросов мультиплицированно больше. И это не на пике. На пике было в 300 раз больше — график куратора не сохранился.

Сам куратор сказал что атака очень сильная. Но всплеск был разовый, как только не пробили — отстали

Сейчас есть хостеры, что закроют атаку бесплатно. Например, таймвеб.
Но, если у вас серьезный проект, пора уходить в небольшие ДЦ, где под такие случаи есть специальное оборудование. По умолчанию все клиенты под ним, как только идет атака, вам приходит оповещение и под вас выделяется отдельный дивайс.


У нас сервер 1U в дц mtw.ru — так как накрывает, они нам помогают. 1U колокейшна там стоит 3000руб в месяц.

И всегда надо иметь запас айпишников, быстро ддос не переключат. И вместо того, чтобы рыться в логах, меняем внешний айпи.

Конечно, зависит от типа и размера атаки. Ддос — тоже вещь не бесплатная, и тут важно понимать, сколько в нее вложили. Если идет адский понос, проще заглушку на вечерок повесить.

Чем меньше ДЦ тем меньше у него суммарная скорость каналов. Одно дело, если атака как у автора, не забьет и 100 мбит канал, а другое, когда атака на десятки гигабит.
А уж если говорить про бесплатную защиту от DDoS от хостеров — вы ей реально пользовались? В 99% случаев это защиты L3-L4 OSI, которые редко встречаются в жизни обычного веб-сайта. В 95% случаев DDoS-атаки на сайт это атаки на уровне L7 — уровень http запросов. Таких бесплатных защит я не видел — да и какой смысл их делать бесплатно? В чем бизнес то тогда? У cloudflare есть бесплатный тариф, но с заглушкой 5 сек, мол мы проверяем, не бот ли вы. Это убьет конверсию сайта на корню. Посетителю вообще об этом знать не нужно.

В Москве и под Москвой каналы у всех ДЦ отличные. У мтв ДЦ в Королеве (второй «бункер», первый на электрозаводской) , и без проблем на наш сервер идет гигабит, в общем полный канал 1gb/1gb, без проблем. Это говорит о том, что у ДЦ огромный серьезный внешний канал.

И когда я увлекался iptv, мне сказали, что резать не будут, хоть наш сервер постоянно будет канал нагружать полностью. Это ли не показатель качества ДЦ?

МТВ небольшие, и мне очень с ними нравится работать. Всех выросших клиентов я туда затаскиваю — и всем нравится. У них есть один бесплатный снепшот виртуалки.
А также есть отличный доступ к серверу.

Наш сервер там леть пять размещён. И проблема только один раз была, когда ледяной дождь был в московском регионе, выпали мы часика на два.

Подобных условий большие не предлагают. Там за все плати — юнит стоит дороже «в розницу», за бекапы виртуалки плати, антиддос платный и так далее.
Плюс никто тебя не вырубит, если оплату пропустил.

А тут. как будто я с корешами договорился на размещение сервака. В общем, рекомендую. Отличные ребята. Конкуренция, я все понимаю.

«Ростелеком» отразил DDoS-атаки на пять крупнейших банков России

«Ростелеком» 5 декабря отразил DDoS-атаки на пять крупнейших банков и финансовых организаций России. Об этом говорится в сообщении на сайте компании.

По данным оператора, самая продолжительная атака длилась более двух часов.

Проведенный экспертами анализ источников атак показал, что часть вредоносного трафика генерировалось с домашних маршрутизаторов пользователей, пояснил директор центра кибербезопасности компании Муслим Меджлумов.

«Отличительной особенностью атак являлось то, что они были организованы с помощью устройств, поддерживающих протокол управления CWMP (TR-069). Несколько недель назад в реализации данного протокола на устройствах ряда производителей была выявлена серьезная уязвимость, позволяющая злоумышленникам формировать ботнет с целью организации DDoS-атак», — сообщает «Ростелеком».

Ранее в Федеральной службе безопасности (ФСБ) заявляли, что иностранные спецслужбы планируют использовать хакеров для дестабилизации финансовой системы России. По данным ведомства, координация ведется с территории Нидерландов.

Кибератаки и их жертвы

Согласно исследованию проведенному «Лабораторией Касперского» совместно с компанией B2B International, в среднем потери российского пользователя в ходе кибератак составляют 80 долларов, а каждая девятая жертва потеряла в результате такого онлайн-мошенничества более 1000 долларов. Поясняя причину потери, 21% пострадавших отметил, что хакеры похитили деньги, получив доступ к записям в платежном сервисе. Еще 19% попались на уловку мошенников и ввели данные на поддельном веб-сайте. А 10% пользователей уверены, что их логины или пароли были перехвачены вредоносной программой.

Кроме того, в течение года пользователи довольно часто сталкивались со взломами своих онлайн-аккаунтов: электронной почты, страницы в социальной сети и т.д. – об этом сообщили 26% респондентов в России. Опасность таких инцидентов заключается не только в том, что скомпрометированные учетные записи используются преступниками для рассылки спама и вредоносных ссылок, они также вполне могут обернуться финансовыми потерями. Например, в почтовом ящике можно найти логины и пароли для доступа к платежным сервисам и онлайн-магазинам, получаемые во время регистрации или восстановления.

Распределенные сетевые атаки / DDoS

Распределенные сетевые атаки часто называют атаками типа «отказ в обслуживании» (Distributed Denial of Service, DDoS). Успех атак этого типа основан на ограничении пропускной способности, которая является одной из характеристик любого сетевого ресурса, например, такого как инфраструктура, поддерживающая веб-сайт компании. Во время DDoS-атаки веб-ресурсу отправляется большое количество запросов с целью исчерпать его возможности обработки данных и нарушить его нормальное функционирование.

Принцип действия DDoS-атак

Сетевые ресурсы (например, веб-серверы) всегда имеют ограничения по количеству одновременно обрабатываемых запросов. Кроме ограничения мощности сервера, канал, по которому сервер связывается с интернетом, также обладает конечной пропускной способностью. Если число запросов превышает предельные возможности какого-либо компонента инфраструктуры, могут возникнуть следующие проблемы с уровнем обслуживания:

  • формирование ответа на запросы происходит значительно медленнее обычного,
  • некоторые или даже все запросы пользователей могут быть оставлены без ответа.

Обычно конечная цель злоумышленника — полное прекращение нормальной работы веб-ресурса, полный «отказ в обслуживании». Злоумышленник может также требовать денег за прекращение атаки. В некоторых случаях DDoS-атака может использоваться для дискредитации бизнес-конкурента или нанесения ему ущерба.

Проведение DDoS-атаки с помощью ботнета

Для отправки на ресурс сверхбольшого количества запросов киберпреступники часто создают из зараженных компьютеров зомби-сеть. Так как преступники могут полностью контролировать действия каждого зараженного компьютера зомби-сети, совокупный масштаб такой атаки может быть чрезмерным для атакованных веб-ресурсов.


Характер современных DDoS-угроз

С начала и до середины 2000-х годов такой вид криминальной деятельности был достаточно распространен. Однако количество успешных DDoS-атак уменьшилось, вероятно, это вызвано следующими причинами:

  • полицейские расследования, которые привели к арестам преступников во многих странах мира;
  • успешные технические контрмеры против DDoS-атак.

Целевые атаки

В отличие от массовых атак компьютерных вирусов (цель которых — заражение максимального количества компьютеров) в целевых атаках используется совершенно другой подход. Целевые атаки могут быть направлены на заражение сети определенной компании или организации или даже одного сервера в сетевой инфраструктуре организации, для чего может быть написана специальная троянская программа.

На кого нацелены атаки?

Киберпреступники часто проводят целевые атаки на предприятия, обрабатывающие или хранящие информацию, которая может быть использована преступниками с целью получения прибыли. Наиболее часто целевым атакам подвергаются:

  • Банки. Преступники атакуют серверы или банковскую сеть, чтобы получить доступ к данным и осуществить незаконный перевод средств с банковских счетов пользователей.
  • Биллинговыекомпании (например, телефонные операторы). Когда для атаки выбирается биллинговая компания, преступники пытаются получить доступ к учетным записям пользователей или украсть ценную информацию, такую как клиентские базы данных, финансовую информацию или технические данные.

Обход корпоративной системы безопасности

Поскольку большие компании (которые обычно подвергаются целевым атакам вредоносных программ) нередко имеют высокий уровень ИТ-безопасности, киберпреступникам могут потребоваться некоторые особо хитрые методы. Так как большинство организаций использует сетевые экраны и другие способы защиты от внешних атак, преступник может попытаться найти ходы внутри организации.

  • Фишинг. Сотрудники невольно могут помочь преступнику, ответив на фишинговое электронное письмо. Оно может выглядеть как сообщение из ИТ-отдела компании, они предлагают сотруднику в целях тестирования ввести свой пароль доступа к корпоративной системе.
  • Использование фальшивых персональных данных. В некоторых случаях преступники могут использовать личную информацию, собранную на веб-сайтах социальных сетей, чтобы выдать себя за одного из коллег сотрудника. В таком случае фишинговый запрос имени пользователя и пароля выглядит так, как если бы он действительно был отправлен коллегой. Это помогает запрашивать у сотрудников их пароли, не вызывая подозрения.

С каждым годом число кибератак растет. Дополнительным фактором роста послужило обнаружение ряда опасных уязвимостей платформы Java, которые были использованы злоумышленниками в кибератаках. Популярность банковских троянцев и других программ для получения финансовой информации обусловлена тем, что с их помощью киберпреступники могут быстро обеспечить себе незаконный доход. При этом набор приемов, используемых злоумышленниками, пополняется едва ли не каждый месяц, и уже нет уверенности, что оградить себя от них можно одной только бдительностью.

Роскомнадзор подтвердил сообщения о DDoS-атаках на свои интернет-ресурсы

Москва. 17 апреля. INTERFAX.RU — Роскомнадзором во вторник зафиксированы две DDoS-атаки на свои официальные интернет-ресурсы, все они функционируют в штатном режиме в данный момент, сообщили «Интерфаксу» в пресс-службе ведомства.

«В ночь и утром 17 апреля были зафиксированы две DDoS-атаки на официальные интернет-ресурсы Роскомнадзора. По сообщению Ростелекома, атаки были успешно отражены», — сказали в пресс-службе.

Там добавили, что «интернет-ресурсы Роскомнадзора в настоящий момент функционируют в штатном режиме». Ранее сообщалось, что сайт Роскомнадзора работает с перебоями, большую часть времени он недоступен для пользователей.

Накануне Роскомнадзор приступил к блокировке мессенджера Telegram. Вечером в понедельник глава ведомства Александр Жаров сообщил, что было заблокировано девять тысяч собственных IP-адресов мессенджера, а также почти 600 тысяч IP-адресов сервиса Amazon, куда мигрировал Telegram. Также Жаров сообщил о блокировке в ближайшее время еще более полумиллиона IP-адресов стороннего ресурса.

Сбербанк объяснил сбой онлайн-платежей новой DDoS-атакой

10 ноября на его сервис «Сбербанк онлайн» была организована DDoS-атака, которая длилась несколько часов. До этого хакеры атаковали российские банки 9 ноября. По данным ЦБ, для этого использовались устройства «интернет вещей».

Как сообщили РБК в Сбербанке, во второй половине четверга, 10 ноября, веб-ресурс «Сбербанк онлайн» подвергся многократной мощной DDoS-атаке, которая длилась несколько часов. «Атака была успешно отражена системами защиты банка. Отмечались некоторые замедления от нескольких секунд до минуты в предоставлении данного сервиса», — сообщил представитель банка. Он уточнил, что отказов в предоставлении сервисов системами банка не фиксировались.

8–9 ноября кибермошенники организовали серию хакерских атак на ряд российских банков, в том числе Сбербанк, банк «Открытие», Альфа-банк. Для этого хакеры использовали ботнеты, включающие десятки тысяч машин, территориально распределенных по нескольким десяткам стран, уточнял представитель Сбербанка.

В ЦБ в четверг РБК уточнили, что Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) зарегистрировал атаки на ряд крупных банков, в которых участвовали бот-сети, состоящие из так называемых устройств «интернет вещей». ФинЦЕРТ является структурным подразделением Главного управления безопасности и защиты информации Банка России.

Регулятор отмечает, что мощность атак была средняя, при этом «нарушений доступности сервисов банков не фиксировалось». «Соответствующая информация доведена до правоохранительных органов», — сообщил официальный представитель ЦБ.

«Интернет вещей» (Internet of Things, IoT) — сеть устройств, оснащенных встроенными технологиями для взаимодействия друг с другом или с внешней средой. В том числе это могут быть предметы бытовой техники, оснащенные устройствами для выхода в интернет и связанные в единую сеть для дистанционного управления или любые датчики, передающие информацию на единый сервер.

О том, что в атаках на российские банки использовались устройства, относящиеся к IoT, РБК заявили и в Group-IB, компании, специализирующейся на кибербезопасности. Согласно исследованию Group-IB, объем хищений в результате целевых атак на банки в июле 2015 — июне 2020 года вырос на 292% по сравнению с тем же периодом в 2014–2015 годах и достиг 2,5 млрд руб.

В Group-IB указывали на рост популярности бот-сетей для DDoS-атак — «обрушений» серверов компаний. Причем для создания бот-сетей злоумышленники используют не компьютеры с Windows, как было раньше, а Linux-серверы и простые устройства IoT. «IoT-устройства в большинстве своем работают круглосуточно и не защищены антивирусами», — отмечает пресс-секретарь Group-IB Николай Грунин.

Разносчиком вирусов может стать подключенный к Wi-Fi холодильник или другие бытовые приборы, говорит представитель Group-IB. По его словам, бытовые приборы могут связываться через Wi-Fi с компьютерами и серверами и в случае заражения рассылать вредоносное ПО или множественные запросы на сервер компании, то есть проводить DDoS-атаки.

Практика использования устройств с дистанционным управлением (IoT) является стандартной при DDoS-атаках, согласен директор по IT крупного банка. «С учетом того, что экономика становится все более цифровой, рисков кибермошенничества становится все больше. Объемы DDoS-атак выросли на порядки потому, что число устройств «интернета вещей» становится все больше», — признает банкир.

Всего с октября 2015 года по март 2020 года Центробанк зафиксировал 21 кибератаку на платежные системы российских финансовых организаций. Мошенники пытались похитить со счетов банков 2,87 млрд руб., ЦБ и банкам удалось предотвратить хищения на общую сумму 1,6 млрд руб, сообщал Банк России.

Альберт КОШКАРОВ, Марина БОЖКО, Анна БАЛАШОВА, Денис БОНДАРЕВ

Добавить комментарий