Ataki DDoS II poł. 2011

Przeczytaj także: Zagrożenia internetowe III kw. 2011

Rodzaje ataków DDoS

W drugiej połowie 2011 r. system firmy Kaspersky Lab służący do monitorowania botnetów przechwycił ponad 32 000 poleceń przesłanych za pośrednictwem Internetu dotyczących przeprowadzenia ataków na różne strony.

HTTP Flood pozostaje najpopularniejszym rodzajem ataków (80%). Polega on na równoczesnym wysłaniu dużej liczby żądań HTTP do atakowanej strony. Cyberprzestępcy wykorzystują kilka różnych technologii w celu przeprowadzenia tego rodzaju ataków. W 55% wszystkich ataków HTTP Flood boty próbują uzyskać dostęp do jednej strony portalu. Drugim najbardziej rozpowszechnionym rodzajem (22%) są ataki na różne formy uwierzytelnienia. Trzecim najpopularniejszym rodzajem (12%) są ataki, które obejmują wiele prób pobrania pliku ze strony. Bardziej zaawansowane ataki, w których cyberprzestępcy próbują zamaskować boty poprzez imitowanie zachowania rzeczywistych użytkowników, są przeprowadzane tylko w 10% wszystkich przypadków.

Drugim najpopularniejszym rodzajem ataków DDoS (10%) jest atak UDP Flood. Boty przeprowadzające te ataki opierają się na metodzie „brute force”: generują ogromne liczby stosunkowo niewielkich „pakietów śmieci” (np. o rozmiarze 64 bajtów).

Trzecie i czwarte miejsca w rankingu popularności zajmują odpowiednio ataki SYN Flood (8%) oraz ICMP Flood (2%).

Aktywność botnetów DDoS w czasie

Przeanalizowaliśmy, o jakiej porze dnia boty DDoS najczęściej atakują różne strony. Wykres poniżej przedstawia czas lokalny ataków, tj. uwzględniono strefy czasowe, w których znajdowały się atakowane strony.

Jak sugeruje wykres, boty DDoS zaczynają działać około 9 lub 10 rano, gdy internauci przychodzą do pracy i zaczynają wykorzystywać Internet do celów związanych z pracą. Szczyt ich aktywności przypada na godz. 16. Jednak ich godziny pracy można określić jako wydłużone: większość botów idzie spać około 4 nad ranem.

Wnioski

Wzrost liczby ataków DDoS w ramach protestów przeciwko decyzjom rządowym, przewidywany w naszym raporcie dotyczącym II kwartału, rzeczywiście nastąpił. Grupa Anonymous nie ograniczyła swojej działalności, mimo że niektórzy jej członkowie zostali aresztowani. Ponadto ataki DDoS jako forma protestu są stosowane przez grupy, które w przeciwieństwie do Anonymous wolą pozostać w cieniu. Na przykład, przed grudniowymi wyborami powszechnymi w Rosji odnotowane zostały ataki na strony partii politycznych, projektów politycznych oraz różnych mediów, jednak osoby, które je zleciły, nie ujawniły się.

Liczba maszyn w botnetach DDoS stopniowo wzrasta, przez co ataki mają średnio większą moc (wzrost o 57% w ciągu sześciu miesięcy). Jednak większa moc ma pewien mankament: takie botnety zwracają uwagę organów ścigania, przez co stają się mniej atrakcyjne dla cyberprzestępców. Z tego powodu w 2012 roku nie zobaczymy naprawdę dużych botnetów. Nasze radary będą wykrywały przeważnie średnie botnety, które mają wystarczającą moc, aby doprowadzić do zdjęcia przeciętnej strony internetowej. Takie botnety będą występować liczniej. Ponadto, ze względu na ochronę przed atakami DDoS stosowaną przez coraz więcej stron hakerzy będą musieli zwiększyć siłę ataków poprzez wykorzystywanie kilku botnetów jednocześnie atakujących ten sam zasób.

Zważywszy na zapotrzebowanie na ataki DDoS, właściciele tego nielegalnego biznesu będą starali się udoskonalać swoje technologie. Architektura sieci zombie wykorzystywana do ataków DDoS stanie się bardziej złożona, a sieci P2P zastąpią scentralizowane botnety. Ponadto, jak wynika z aktualnych badań, w 2012 roku cyberprzestępcy będą szukali nowych sposobów przeprowadzania ataków DDoS bez wykorzystywania botnetów.