«Лаборатория Касперского»: на DDoS-фронте затишье
ИТ-Безопасность
Публикуя статистику по DDoS-атакам за четвертый квартал, эксперты «Лаборатории Касперского» отметили уменьшение количества и продолжительности таких инцидентов.

Вместе с тем число многовекторных атак продолжает расти, что, по мнению специалистов, может в совокупности свидетельствовать об ухудшении ситуации для дидосеров.

«Возможно, поддерживать крупные ботнеты стало сложнее по экономическим причинам или из-за усиления активности правоохранительных органов, — пишут исследователи в блоге Securelist. — В результате тактика использования бот-сетей изменилась: для проведения атак все чаще комбинируются компоненты разных ботнетов».

Напомним, свои отчеты о DDoS «Лаборатория Касперского» составляет на основе анализа данных об активности профильных ботнетов, обнаруженных и изученных ее специалистами. По этой причине публикуемая «Лабораторией» статистика не может претендовать на полноту отображения общей картины.

В период с октября по декабрь эксперты зафиксировали DDoS-атаки в 84 странах мира — против 98 в предыдущем квартале. Наиболее высокая активность, как и прежде, наблюдалась в Китае, на долю которого пришлось 59,18% атак. Второе и третье места в этом рейтинге вновь заняли США (16,00%) и Южная Корея (10,21%). Россия несколько улучшила свой показатель (1,25% против 1,58%) и в итоге опустилась с четвертой на шестую строчку.

Самая затяжная DDoS продолжалась 146 часов (шесть суток); рекорд третьего квартала по этому показателю составил 215 часов (почти девять дней). Однако в целом дидосеры, как и прежде, отдают предпочтение блиц-атакам: около 77% DDoS, зафиксированных в течение IV квартала, продолжались не более четырех часов.

Из техник, используемых дидосерами, наиболее часто применялась SYN flood, хотя ее вклад в общий мусорный поток заметно уменьшился (c 60,43 до 55,63%). Исследователи объясняют этот тренд снижением активности Linux-ботнета Xor. На вторую строчку в списке векторов поднялись UDP-атаки, обогнав TCP и HTTP:

Вместе с тем, как уже говорилось, эксперты продолжают фиксировать рост числа DDoS-атак, при проведении которых используются сразу несколько техник — SYN flood, TCP Connect, HTTP flood, UDP flood. По данным «Лаборатории Касперского», в минувшем году на долю многовекторных атак пришлось около трети DDoS-инцидентов, тогда как в 2016-м — лишь 13%.

Вклад Linux-ботнетов в общий мусорный поток в четвертом квартале еще немного увеличился и достиг 71,19%. Наиболее заметные всплески DDoS-активности были зафиксированы на ловушках накануне Черной пятницы и Киберпонедельника, а также сразу после этих праздников. Оживление в стане Linux-ботоводов пошло на убыль лишь в начале декабря.

Рейтинг стран по числу центров управления ботнетами по итогам IV квартала вновь возглавили Южная Корея (46,43%), США (17,26%) и Китай (5,95%). К этой тройке на сей раз присоединилась Россия, ухудшившая свой показатель до уровня Китая. Однако в абсолютном выражении, как отметили авторы отчета, количество командных серверов в Корее, США и Китае уменьшилось почти в два раза. По мнению «лаборантов», этому отчасти способствовали прекращение работы многих C&C ботнета Nitol и снижение активности Xor.