Кибер-атаки признаны глобальным мировым риском, наравне с финансовым кризисом, изменением климата, безработицей и нехваткой питьевой̆ воды. Атаки направлены на публичные информационные ресурсы, системы самообслуживания, торговые площадки, сайты госструктур, банки и т.п.
Примеры некоторых DDoS атак на Российские ресурсы в 2014 году:
- 30 января 2014 года – атака на сайт газеты «Ведомости»;
- 20 февраля 2014 года – атака на LifeNews.ru;
- 7 марта 2014 года – атака на сайт Российской газеты;
- 13 марта 2014 года – атака на сайт 1TV.ru (Первый канал);
- 14 марта 2014 года – атаки на:
- Сайт МИД РФ;
- Kremlin.ru;
- Банк России;
- Lenta.ru.
- Альфа Банк;
- ВТБ.
- 03 апреля 2014 года – атака 100 Гбит/с на сайт Interfax.ru
- 13 апреля 2014 года – атака на сайт kp.ru (Комсомольская правда)
Атаки становятся сложнее и происходят чаще:
- используются многочисленные поведенческие алгоритмы;
- эмулируются действия легитимных пользователей с использованием распределенных бот-сетей и уязвимостей;
- взломы систем сопровождаются «шумом»;
- скорость «нападения» возрастает, что затрудняет «ручное»подавление.
Обнаружение атак «классическими» средствами защиты (межсетевые экраны, системы обнаружения вторжений и др.) становится труднее или невозможным, требуется применение специализированных систем. Такая система есть в нашем распоряжении — ЦОДы Inoventica Services эксплуатируют систему ivnGUARD, разработанную компанией Inoventica Technologies, входящей в группу компаний Inoventica.
Мы не хотим утомлять вас рекламной статьей и долго рассказывать о преимуществах этой системы. Цель этой статьи – поделиться с вами статистикой и услышать ваши истории в комментариях. Итак, наша статистика за 3й квартал 2015. Так выглядит распределение трафика по географии внешних источников атак:
Так выглядит распределение по типам атакованных компаний:
Исходя из этой статистики видно, что чаще всего атаке подвергается shared-хостинг. Мы удар держим. А вы? Не уверен, что все хостинг-провайдеры предлагают хостинг с защитой от DDoS атак за 70 рублей в месяц.
Так выглядит статистика по типам атак:
Превышение трафика для профиля — превышение установленного порога по количеству пакетов в секунду или по скорости. Порог либо устанавливается динамически по статистике по каждому клиенту, собранной за предыдущее время (обычная ситуация), либо администратором вручную (особые случаи).
-
Количество трафика – превышение настроенного вручную порога по скорости или количеству пакетов
-
UDP – разные типы атак с усилением (SSDP, NTP, DNS amplification т.д.)
-
DNS – атаки на DNS сервер (не DNS amplification)
TCP RST и ICMP flood – атаки TCP с установленным флагом RST и ICMP пакетами соответственно.
Да, мы не хостеры в классическом понимании, мы больше по облакам. Но наша ИКТ инфраструктура и канал 1 Тбит/с в ЦОД играют нам на руку и в отношении хостинг-истории. Средняя ширина атаки на сегодняшней день составляет 1Гбит/с. Страшно представить что испытывают хостеры с каналом в ЦОД в 200 Мбит/с. Разместившись у таких парней и испытав DDoS по DNS – на следующий день лучше не просыпаться.
А это статистика по способам их подавления:
Такая картина говорит о том, что клиенты размещают в облаке все, включая business-critical data, забывая, что индивидуальная защита от DDoS по IP стоит своих денег. Кто-то ждет грома, а кто-то выбирает превентивные методы.
А что у вас? Как выглядит ваш день в отношении сетевой безопасности?
P.S. Презентация по системе InvGuard:
Защита от DDoS от Inoventica Services