412 Гбит/с и 103 млн пакетов в секунду: новые рекорды DDoS в России

Во втором полугодии 2024 года количество DDoS-атак в России увеличилось в 2,6 раза по сравнению с первой половиной года. Согласно отчету Selectel, с июля по декабрь зафиксировано 80 735 атак, в среднем 13 455 атак ежемесячно. Наибольшее число атак пришлось на октябрь.

Максимальная мощность за этот период составила 412 Гбит/с, а самая высокая скорость достигла 103 миллиона пакетов в секунду. Самыми активными месяцами по числу мощных атак стали июль и ноябрь, а наиболее продолжительные инциденты зафиксированы в октябре. Среднее количество атак на одну цель варьировалось от 2 780 до 4 621 в месяц, причем сентябрь стал рекордным по этому показателю.

DDoS-атаки различаются по характеру воздействия. Одни направлены на перегрузку каналов передачи данных, другие — на исчерпание вычислительных мощностей сетевого оборудования. В ноябре зафиксирована самая объемная атака — 412 Гбит/с, но при этом средний объем переданных данных за инцидент оказался минимальным. В июле, напротив, наибольший объем трафика на один инцидент составил 48 ГБ, а число переданных пакетов достигло 500 миллионов, что в 24 раза больше, чем минимальное значение в сентябре.

Наибольшая скорость была зафиксирована в июле и составила 103 миллиона пакетов в секунду. Это почти в 5 раз выше, чем максимальный показатель декабря, когда атака достигла 22 миллионов пакетов в секунду.

Общая суммарная продолжительность атак за шесть месяцев составила 9 718 часов. Октябрь стал самым напряженным месяцем — зафиксировано 2 167 часов атак, что почти в 2 раза больше, чем в ноябре. В среднем каждая атака длилась 7 минут, однако в декабре был зафиксирован рекордно продолжительный инцидент — 202 часа, что почти в 10 раз дольше, чем в предыдущие месяцы.

Наиболее распространенные типы атак: TCP PSH/ACK Flood, TCP SYN Flood и UDP Flood, они составили 70% всех случаев. UDP Flood представляет собой массовую отправку датаграмм на случайные или заданные порты. Проверка каждого пакета требует вычислительных ресурсов, что при высокой интенсивности перегружает сеть. TCP SYN Flood заключается в создании большого количества полуоткрытых соединений, мешающих обработке новых запросов. TCP PSH/ACK Flood перегружает узел потоком ложных пакетов, вынуждая тратить ресурсы на их обработку.

За весь 2024 год зафиксировано 112 171 атака, а общее время атак составило 13 613 часов. Количество повторных инцидентов увеличилось: если в апреле максимальная общая длительность атак на одну цель составляла 172 часа, то в июле этот показатель вырос до 492 часов. В декабре продолжительность самой долгой атаки достигла 202 часов, тогда как в апреле этот показатель не превышал 156 часов.

Резкое увеличение числа атак, их мощности и длительности указывает на эволюцию угроз. Злоумышленники используют более сложные методы и комбинируют различные виды атак, стремясь нанести максимальный ущерб. Высокая интенсивность атак и рост повторных инцидентов требуют повышенного внимания к безопасности сетевой инфраструктуры.