Cloudflare нейтрализует рекордную DDoS-атаку с частотой 71 миллион запросов в секунду

Этот пост также доступен на языках 简体中文, 繁體中文, 日本語, 한국어.

Это были выходные рекордных DDoS-атак. За выходные Cloudflare обнаружила и устранила десятки сверхобъемный DDoS-атаки. Пик большинства атак достигал примерно 50-70 миллионов запросов в секунду (RPS), а самый крупный из них превышал 71 миллион запросов в секунду. Это крупнейшая зарегистрированная атака HTTP DDoS, которая более чем на 54% превышает предыдущий рекорд в 46 млн запросов в секунду в июне 2022 года.

Атаки были основаны на HTTP/2 и нацелены на веб-сайты, защищенные Cloudflare. Они произошли с более чем 30 000 IP-адресов. Некоторые из атакованных веб-сайтов включали популярных игровых провайдеров, криптовалютные компании, хостинг-провайдеров и платформы облачных вычислений. Атаки исходили от многочисленных облачных провайдеров, и мы работаем с ними над подавлением ботнета.

За последний год мы видели больше атак, исходящих от поставщиков облачных вычислений. По этой причине мы будем предоставлять поставщикам услуг, которые владеют собственной автономной системой, бесплатную ленту угроз ботнета. Лента будет предоставлять провайдерам услуг информацию об угрозах в отношении их собственного IP-пространства; атаки, исходящие из их автономной системы. Поставщики услуг, которые управляют собственным IP-пространством, теперь могут зарегистрироваться в списке ожидания раннего доступа.

Это связано с Суперкубком или Killnet?

Нет. Эта кампания атак началась менее чем через две недели после DDoS-кампании Killnet, нацеленной на веб-сайты здравоохранения. Основываясь на методах и целях, мы не считаем, что эти недавние атаки связаны с кампанией здравоохранения. Кроме того, вчера был Суперкубок США, и мы также не считаем, что эта атака связана с игровым событием.

Что такое DDoS-атаки?

Распределенные атаки типа «отказ в обслуживании» — это кибератаки, направленные на то, чтобы вывести из строя интернет-ресурсы и сделать их недоступными для пользователей. Эти типы кибератак могут быть очень эффективными против незащищенных веб-сайтов, и они могут быть очень недорогими для злоумышленников.

Атака HTTP DDoS обычно включает поток HTTP-запросов к целевому веб-сайту. Цель злоумышленника — бомбардировать веб-сайт большим количеством запросов, чем он может обработать. При достаточно большом количестве запросов сервер сайта не сможет обработать все запросы на атаку вместе с законный запросы пользователей. Пользователи будут ощущать это как задержки загрузки веб-сайтов, тайм-ауты и, в конечном итоге, вообще не смогут подключиться к нужным веб-сайтам.

Чтобы сделать атаки более масштабными и сложными, злоумышленники обычно используют сеть ботов — ботнет. Злоумышленник организует ботнет для бомбардировки веб-сайтов жертвы HTTP-запросами. Достаточно большой и мощный ботнет может генерировать очень крупные атаки, как мы видели в этом случае.

Однако создание и эксплуатация ботнетов требует больших инвестиций и опыта. Что должен делать средний Джо? Ну, обычному человеку, который хочет запустить DDoS-атаку на веб-сайт, не нужно начинать с нуля. Они могут нанять одну из многочисленных платформ DDoS-as-a-Service всего за 30 долларов в месяц. Чем больше вы платите, тем крупнее и продолжительнее будет атака.

Почему DDoS-атаки?

С годами запуск DDoS-атак стал проще, дешевле и доступнее для злоумышленников и злоумышленников по найму. Но как бы легко это ни стало для злоумышленников, мы хотим сделать так, чтобы защитникам организаций любого размера было еще проще — и бесплатно — защитить себя от DDoS-атак всех типов.

В отличие от атак программ-вымогателей, DDoS-атаки с вымогательством не требуют фактического вторжения в систему или присутствия в целевой сети. Обычно атаки программ-вымогателей начинаются, когда сотрудник наивно щелкает ссылку электронной почты, которая устанавливает и распространяет вредоносное ПО. В случае с DDoS-атаками в этом нет необходимости. Они больше похожи на нападение «бей и беги». Все, что нужно знать злоумышленнику DDoS, — это адрес веб-сайта и/или IP-адрес.

Есть ли рост DDoS-атак?

Да. Размер, изощренность и частота атак за последние месяцы увеличились. В нашем последнем отчете об угрозах DDoS мы увидели, что количество атак HTTP DDoS увеличилось на 79% по сравнению с прошлым годом. Кроме того, количество объемных атак, превышающих 100 Гбит/с, выросло на 67% по сравнению с предыдущим кварталом, а количество атак продолжительностью более трех часов увеличилось на 87% по сравнению с предыдущим кварталом.

Но это еще не все. Возросла и дерзость нападавших. В нашем последнем отчете об угрозах DDoS мы видели, что DDoS-атаки с вымогательством неуклонно росли в течение года. Пик пришелся на ноябрь 2022 года, когда каждый четвертый опрошенный клиент сообщил, что подвергался DDoS-атакам или угрозам с вымогательством.

Стоит ли опасаться DDoS-атак?

Да. Если ваш веб-сайт, сервер или сеть не защищены от объемных DDoS-атак с помощью облачного сервиса, обеспечивающего автоматическое обнаружение и смягчение последствий, мы настоятельно рекомендуем вам подумать об этом.

Клиенты Cloudflare не должны беспокоиться, но должны знать и быть готовыми. Ниже приведен список рекомендуемых шагов для оптимизации вашего состояния безопасности.

Какие шаги я должен предпринять для защиты от DDoS-атак?

Системы Cloudflare автоматически обнаруживают и нейтрализуют эти DDoS-атаки.

Cloudflare предлагает множество функций и возможностей, к которым вы, возможно, уже имеете доступ, но не используете. Поэтому в качестве дополнительной меры предосторожности мы рекомендуем воспользоваться этими возможностями, чтобы улучшить и оптимизировать систему безопасности:

1. Убедитесь, что для всех управляемых правил DDoS заданы настройки по умолчанию (высокий уровень чувствительности и действия по смягчению последствий) для оптимальной активации DDoS.
2. Клиентам Cloudflare Enterprise, подписавшимся на услугу Advanced DDoS Protection, следует рассмотреть возможность включения адаптивной защиты от DDoS, которая более разумно нейтрализует атаки на основе ваших уникальных шаблонов трафика.
3. Разверните правила брандмауэра и правила ограничения скорости, чтобы обеспечить комбинированную позитивную и негативную модель безопасности. Уменьшите трафик, разрешенный для вашего веб-сайта, на основе вашего известного использования.
4. Убедитесь, что ваш источник не открыт для общедоступного Интернета (т. е. разрешите доступ только к IP-адресам Cloudflare). В качестве дополнительной меры безопасности мы рекомендуем связаться с вашим хостинг-провайдером и запросить новые IP-адреса исходных серверов, если они были напрямую атакованы в прошлом.
5. Клиентам, имеющим доступ к управляемым спискам IP-адресов, следует рассмотреть возможность использования этих списков в правилах брандмауэра. Клиенты с Bot Management должны рассмотреть возможность использования оценок угроз в рамках правил брандмауэра.
6. Максимально включите кэширование, чтобы снизить нагрузку на исходные серверы, а при использовании Workers избегайте перегрузки исходного сервера большим количеством подзапросов, чем необходимо.
7. Включите DDoS-оповещение, чтобы сократить время отклика.

Подготовка к следующей волне DDoS

Защита от DDoS-атак имеет решающее значение для организаций любого размера. В то время как атаки могут быть инициированы людьми, они выполняются ботами — и чтобы играть на победу, вы должны сражаться с ботами с помощью ботов. Обнаружение и смягчение последствий должны быть максимально автоматизированы, потому что полагаться исключительно на людей для смягчения последствий в режиме реального времени ставит защитников в невыгодное положение. Автоматизированные системы Cloudflare постоянно обнаруживают и нейтрализуют DDoS-атаки для наших клиентов, поэтому им это не нужно. Этот автоматизированный подход в сочетании с нашими широкими возможностями безопасности позволяет клиентам адаптировать защиту к своим потребностям.

Мы предоставляем неограниченную и неограниченную защиту от DDoS бесплатно всем нашим клиентам с 2017 года, когда мы впервые разработали эту концепцию. Миссия Cloudflare — помочь улучшить Интернет. Лучший Интернет — это тот, который более безопасен, быстр и надежен для всех — даже перед лицом DDoS-атак.