Rekordowy atak i jego skutki
Celem ataków DDoS jest przeciążenie silników przetwarzania urządzeń sieciowych znajdujących się w pobliżu celu, co prowadzi do unieruchomienia infrastruktury, na przykład systemów ochrony przed atakami DDoS. Ataki DDoS oparte na pakietach są szczególnie skuteczne, ponieważ wymagają obsługi wielu małych pakietów, co jest zazwyczaj trudniejsze niż radzenie sobie z mniejszą liczbą większych pakietów.
OVHcloud wyjaśnia: „Możemy podsumować ten problem w jednym zdaniu: jeśli Twoja praca polega głównie na obsłudze ładunków, przepustowość może być twardą granicą; jeśli jednak Twoja praca polega głównie na obsłudze nagłówków pakietów, twardą granicą jest szybkość przesyłania pakietów.”
Największa prędkość ataku pakietowego osiągnęła szczyt około 840 Mpps (milionów pakietów na sekundę) i została zarejestrowana w kwietniu tego roku, bijąc rekord z 2021 r., który wynosił 809 Mpps. Co więcej, OVHcloud zaobserwował w ciągu ostatnich sześciu miesięcy gwałtowny wzrost liczby ataków DDoS z szybkością pakietów przekraczającą próg 100 Mpps.
Zazwyczaj atakujący opierają się na atakach DDoS, których celem jest wyczerpanie przepustowości lub zasobów celu. Jednak coraz popularniejsze stają się ataki oparte na szybkości pakietów. „Przeszliśmy od łagodzenia kilku z nich co tydzień do dziesiątek, a nawet setek tygodniowo. Nasze infrastruktury musiały złagodzić kilka ataków 500+ Mpps na początku 2024 r., w tym jeden osiągający szczyt 620 Mpps. W kwietniu 2024 r. złagodziliśmy nawet rekordowy atak DDoS osiągający ~840 Mpps”, mówi OVHcloud.
Źródła ataków i potencjalne zagrożenia
Większość ruchu wykorzystanego w ataku składała się z pakietów TCP ACK pochodzących z około 5000 adresów IP. Śledztwo ujawniło użycie routerów MikroTik jako części ataku, w szczególności modeli CCR1036-8G-2S+ i CCR1072-1G-8S+. Na internet narażonych jest blisko 100 000 urządzeń CCR, przy czym dwa modele odpowiadają za około 40 000 z nich.
OVHcloud twierdzi, że gdyby atakującemu udało się wciągnąć wszystkie te urządzenia do sieci botnet, teoretycznie sieć taka mogłaby generować 2,28 miliarda pakietów na sekundę (Gpps). Wzrost liczby takich ataków w ciągu ostatniego półtora roku sprawił, że obecnie normalnym zjawiskiem są również duże ataki na warstwę sieciową.
Botnet Mirai jako pierwszy przekroczył próg 1 Tbps (terabita na sekundę) w 2016 r., a w 2022 r. ustanowiono rekordy 3,47 Tbps i 2,5 Tbps. Obecnie ataki DDoS przekraczające 1 Tbps są na porządku dziennym. „W ciągu ostatnich 18 miesięcy przeszliśmy od ataków 1+ Tbps, które były dość rzadkie, potem cotygodniowe, do prawie codziennych (średnio w ciągu jednego tygodnia). Najwyższa szybkość transmisji, jaką zaobserwowaliśmy w tym okresie, wynosiła ~2,5 Tbps”, zauważa OVHcloud.
W październiku ubiegłego roku branża zaobserwowała jedne z największych ataków DDoS warstwy 7 w historii. Wykorzystując lukę typu zero-day „HTTP/2 Rapid Reset”, w ciągu kilku dni zaobserwowano wiele rekordowych ataków, z których największy osiągnął szczyt 398 milionów żądań na sekundę (rps).
Ostatnie wydarzenia podkreślają rosnące zagrożenie związane z atakami DDoS i konieczność ciągłego doskonalenia mechanizmów obronnych. OVHcloud i inne firmy z branży muszą stale inwestować w nowe technologie i strategie, aby skutecznie przeciwdziałać rosnącej skali i złożoności tych ataków.
