سجلات الحجر الصحي: كيف نمت DDoS

كما تعلمون ، الكسل هو محرك التقدم. والعزلة الذاتية هي محرك DDoS ، سنضيف بناءً على نتائج فهم "الماضي" في مارس-مايو 2020. بينما كان شخص ما يعاني من اليأس (حرفياً) من وضعه ، عانى "قراصنة الأم" من القمامةمن حتمية التعلم عبر الإنترنت والامتحانات القادمة. لقد عانوا "بنشاط" (هذه الطاقة إلى قناة سلمية!). من حيث عدد هجمات DDoS في التعليم ، لوحظت أعلى ديناميكيات النمو. في ذروته - في أبريل - زاد عدد المحاولات لترتيب رفض الخدمة للمصادر التعليمية (اليوميات الإلكترونية ، والمواقع التي تحتوي على أوراق اختبار ، ومواقع للدروس عبر الإنترنت ، وما إلى ذلك) 5.5 مرة مقارنة بشهر مارس و 17 مرة فيما يتعلق بـ بحلول يناير 2020. كانت جميع هذه الهجمات منخفضة الطاقة (وربما مجانية) باستخدام أدوات بسيطة ومتاحة بسهولة. بالطبع ، تم استهداف الصناعات الأخرى أيضًا من قبل المهاجمين (وإن كانت أكثر تقدمًا) ، ولكن هنا كان متوقعًا: التجارة عبر الإنترنت ، والقطاع العام ، والقطاع المالي ، والاتصالات ، وقطاع الألعاب. التفاصيل ، كما هو الحال دائمًا ، تحت القطع.







تعتمد التحليلات التي نقدمها أدناه على البيانات من الهجمات على شبكات Rostelecom من يناير إلى مايو 2020.

كيف تغير عدد الهجمات

وبالتالي. في مارس-مايو 2020 ، زاد عدد هجمات DDoS 5 مرات مقارنة بالفترة نفسها من العام الماضي. بشكل عام ، في الأشهر الخمسة الأولى من عام 2020 ، تضاعف العدد الإجمالي لمثل هذه الهجمات أربع مرات على أساس سنوي.



من الواضح بوضوح كيف زاد المجرمون الإلكترونيون من نشاطهم مع إدخال تدابير الحجر الصحي. كانت الذروة في أبريل ، عندما زاد عدد الهجمات بنسبة 88٪ مقارنة بشهر يناير. تجدر الإشارة هنا إلى أن الديناميكيات لم تكن مشرقة للغاية قبل عام ، وظل عدد الهجمات من شهر إلى آخر كما هو أو ناقص.





خلال فترة العزلة الذاتية ، تغيرت طبيعة حركة الإنترنت. أطلقت العديد من المؤسسات التي كانت تعمل سابقًا في وضع عدم الاتصال فقط موارد الإنترنت الخاصة بها ، بما في ذلك الموارد المجانية . أضف وحدة تحكم عن بُعد كبيرة هنا - وسنحصل على واقع جديد على الشبكة: إذا كان نشاط الإنترنت السابق في ازدياد تدريجي ، ليصل إلى ذروة بحلول الساعة 17: 00-21: 00 ، فقد لوحظ الآن زيادة حادة في حوالي الساعة 10:00 ولم تنخفض قبل الساعة 23:00. بشكل عام ، ازدادت حركة المرور لمدة خمسة أشهر من عام 2020 بنحو 20٪ (وحيث توجد حركة مرور ، يوجد "مخربون").

خصائص الهجوم

مع زيادة حادة في عدد هجمات DDoS ، انخفض تعقيدها وقوتها ككل. غالبًا ما استخدم المهاجمون تضخيم DNS أو NTP المعتاد للأحجام الصغيرة (حتى 3 جيجابايت / ثانية).



يشار إلى أنه في نهاية عام 2019 ، سجلنا الاتجاه المعاكس: زيادة حادة في القوة والتعقيد الفني للهجمات. خلال الوباء ، لم ينخفض ​​عدد مثل هذا ، ولكن انخفضت الحصة ككل على خلفية الزيادة الحادة في هجمات DDoS البسيطة "العامل - الفلاح". يشير هذا مرة أخرى إلى أنه خلال العزلة الذاتية ، لم يكن "المحترفون" هم الذين كانوا نشطين بشكل خاص ، بل "الهواة" الذين قرروا الاستفادة من الوضع.

الذين تم اصطيادهم

كما قلنا أعلاه ، في الأشهر الخمسة الأولى ، ازداد اهتمام المهاجمين بالموارد التعليمية بشكل حاد. مع الأخذ في الاعتبار حقيقة أنه في معظم الحالات تم إرسال حركة المرور "غير المرغوب فيها" بشكل واضح من قبل "الهواة" ، توحي الاستنتاجات حول المنظمين بأنفسهم (ونعم - هذا ليس مذكرات للاختباء تحت سريرك أو تدفئة ميزان الحرارة لتجنب التحكم).





لكن DDoS لم تكن المدرسة الوحيدة. كما زاد عدد الهجمات على مؤسسات الدولة - في أبريل / نيسان أكثر من 3 مرات مقارنة بشهر مارس / آذار.





كانت الصناعة الثالثة ذات الديناميكيات الأكثر وضوحًا هي الألعاب (نمو الهجمات في أبريل تضاعف ثلاث مرات تقريبًا مقارنة بشهر مارس). لم يجذب وضع العزل العديد من المستخدمين الجدد لهذه الصناعة فحسب ، بل جذب المال أيضًا (وحيث توجد الأموال ... حسنًا ، كما تفهم). باختصار ، نشأ صراع جاد في مجالات الألعاب ، ليس فقط بين اللاعبين ، ولكن أيضًا بين المواقع.





على الرغم من حقيقة أن قوة الهجوم الإجمالية انخفضت خلال الفترة المشمولة بالتقرير ، فقد برز مشغلو الاتصالات ومراكز البيانات في الإحصاءات العامة: أكثر من 150 غيغابايت من الهجمات أكثر من المعتاد. DDoS في هاتين الجزأين يجعل من الممكن تعطيل ليس موقع واحد محدد ، ولكن "البيع بالجملة" لعملاء المشغل والموارد التي يخدمها مركز البيانات. علاوة على ذلك ، تتمتع هذه الشركات بحماية أفضل من الوكالات الحكومية أو القطاع التعليمي على سبيل المثال. لذلك ، يجب على المهاجمين استخدام أدوات أكثر تعقيدًا. خلال الوباء ، كانت الهجمات على هذين القطاعين سريعة وقوية وتم تنفيذها على الأرجح من خلال مضيفين حقيقيين تم تجميعهم في الروبوتات مع القدرة على إعادة توجيهه إلى ضحية جديدة في غضون دقائق.



بشكل عام ، يستمر هذا التقسيم حسب الصناعة في الاتجاه الذي تشكل في عام 2019. على سبيل المثال ، في عام 2018 ، شكلت صناعة الاتصالات 10 ٪ فقط من جميع هجمات DDoS ، وفي عام 2019 - بالفعل 31 ٪. كانت أهداف المتسللين هي مزودي الإنترنت الإقليميين الصغار ، ومراكز الاستضافة والبيانات ، والتي عادة لا تمتلك الموارد اللازمة لصد الهجمات.

مجموع

• خلال فترة الحجر الصحي ، على خلفية انتشار COVID-19 (مارس-مايو 2020) ، تم تسجيل هجمات DDoS أكثر بخمس مرات من العام السابق.
• ازدادت نسبة الهجمات البسيطة وذات القوة المنخفضة ، مما يشير إلى نشاط المهاجمين "غير المحترفين".
• ارتفع عدد الهجمات على الموارد التعليمية بنسبة 5.5 مرة ، وانخفضت أقوى الهجمات في الفترة المشمولة بالتقرير على مشغلي الاتصالات ومراكز البيانات.

انخفض أكبر حجم للهجمات في مارس-مايو على قطاع التداول عبر الإنترنت (31٪) ، والذي يعد تقليديًا أحد الأهداف الرئيسية لـ DDoS. أصبح القطاع العام ثاني أكثر شعبية (21٪ من الهجمات). ويلي ذلك القطاع المالي (17٪) والاتصالات (15٪) والتعليم (9٪) وقطاع الألعاب (7٪).



كان أبريل أصعب شهر بالنسبة لمالكي موارد الإنترنت ، حيث كان هناك نظام صارم للعزلة الذاتية ساري المفعول في روسيا. في شهر مايو ، بدأ نشاط المستخلصين في الانخفاض تدريجيًا - سيستمر هذا الاتجاه حتى إذا استقر الوضع في روسيا والعالم. يمكنك أيضًا توقع انخفاض عدد الهجمات في مجال التعليم عندما ينتهي الدخول والامتحانات النهائية.



ومع ذلك ، كما أظهر الحجر الصحي السابق ، فإنه من المستحيل التنبؤ على وجه اليقين بالضبط متى ستأتي DDoS إلى الشركة ، لذلك من الأفضل وضع القش مسبقًا.