Почему растет количество DDoS-атак

По оценкам аналитиков, число DDoS-атак на российские компании за 2024 год увеличилось более чем вполовину — при этом на каждую организацию приходится несколько сотен инцидентов.

Такая динамика обусловлена рядом причин, и в числе основных — все большее распространение «умных» устройств, таких как камеры видеонаблюдения, интернет-маршрутизаторы, автомобильные регистраторы, смарт-часы. Учитывая их низкую защищенность, злоумышленники достаточно легко получают доступ к таким девайсам и организуют масштабные ботнеты. В свою очередь, рост ботнетов приводит к более мощным атакам: так, инциденты мощностью от 1 Тбит/с становятся все привычнее.

Ковровое покрытие

Сами атаки отличаются по своему характеру: по типу организации их можно разделить на целевые и ковровые.

Целевые DDoS-атаки характеризуются тем, что злоумышленники направляют масштабный вредоносный трафик на один IP-адрес конкретной организации. В свою очередь, при «ковровых» бомбардировках атакуется целый диапазон подсетей, который может содержать тысячи IP-адресов. На каждый адрес в таком случае приходится сравнительно невысокий объем нелегитимного трафика, но если какой-либо из них плохо защищен, то жертвами станут все сайты диапазона, а не одна компания.

Целевые атаки организуются как правило на известные корпорации и в целом заметных игроков любого сектора. Злоумышленники могут пытаться вывести из строя эти сайты как политическим причинам, так и по коммерческим: к примеру, они могут попытаться вымогать деньги за остановку атаки или за возврат доступа к пользовательским данным. А вот «ковровые» атаки могут коснуться уже любой компании, независимо от ее размера.

Уровень ниже

У обоих типов атак есть общая черта: рост вредоносного трафика на уровень приложений (L7).

В отличие от уровня сети (L3-4), выявить и заблокировать вредосноные запросы на L7 крайне сложно. Поэтому на сетевом уровне большинство антибот-решений работают сравнительно эффективно, а вот технологии для защиты L7 есть у единичного количества сервисов.

При этом все хуже показывают себя уже привычные методы обнаружения ботов. Так, блокировка по IP по сути стала неактуальной, поскольку распространение облачных систем и их доступность позволяют организовать атаку из любой страны. А развитие ИИ сделало по факту бесполезной и инструмент CAPTCHA: боты научились разгадывать ее быстрее людей.

Наиболее эффективным методом детекции ботов стал многофакторный анализ трафика, который применяет в том числе компания Variti: именно такой подход позволяет блокировать 99,9% вредоносного трафика на уровнях и L3-4, и L7.