Наша система защиты успешно заблокировала DDoS-атаку мощностью более 1,1 Тбит/с. Атака была организована с помощью нового ботнета и продолжалась более 8 дней. Суммарно система защиты приняла более 80 петабайт трафика.
Что произошло?
Несколько недель назад мы успешно отразили DDoS-атаку мощностью более 1,1 Тбит/с. Целью злоумышленников стали игровые серверы. Атака шла сразу на несколько игровых компаний. И на пике её мощность превышала 400 млн пакетов в секунду.
Такие показатели можно назвать рекордными. Для сравнения, в 2022 году ComNews назвал самой мощной атаку в 760 Гбит/с, а это почти в 2 раза меньше.
На первых этапах хакеры «прощупывали почву» — посылали небольшое количество запросов, чтобы найти слабые места в инфраструктуре. Но когда точечно обнаружить незащищённые элементы не удалось, злоумышленники перешли на массивную атаку на разных уровнях модели OSI.
При этом атака побила рекорд не только по мощности, но главным образом, по длительности.
Рекорд по продолжительности атаки
DDoS-атака совокупно длилась более 8 дней. Но гораздо важнее здесь не общая продолжительность, а длительные периоды пиковых скачков. DDoS-атаки не идут на пиковой мощности постоянно. Количество трафика то снижается, то взлетает.
Во время этой атаки пиковые объёмы трафика посылались на игровые серверы в течение 12 часов. Это крайне редкий случай. Раньше настолько объёмные атаки длились в среднем 15 минут.
Достичь такой длительности злоумышленникам удалось с помощью нового ботнета. Он был достаточно дешёвым для злоумышленников и позволил им значительно увеличить время атаки.
При этом хакеры использовали ботнет не только против клиентов EdgeЦентр. Часть клиентов обратилась к нам за помощью после того, как каналы их провайдеров были переполнены вредоносным трафиком, и системы защиты не справились с нагрузкой. Это объяснимо, ведь чтобы самостоятельно принимать объемные и продолжительные атаки, нужно много сводных каналов, что не могут себе позволить большинство операторов связи.
При этом подобные мощные атаки несут бизнесу огромные убытки. Для примера, всего час простоя может привести к убыткам в 1 млн рублей. Можно представить, какие катастрофические потери может понести компания из-за 8 дней атаки.
Как мы смогли отразить атаку
Выдержать наплыв трафика компании позволил комплексный подход. Инструменты защиты работали сразу на нескольких уровнях, и поэтому хакерам не удалось найти слабое место.
Для защиты мы использовали BIFIT Mitigator (программный комплекс для защиты от DDoS-атак и их обнаружения) и собственные разработки. Например, трафик анализировался с помощью программы EdgeVector — анализатора DDoS-аномалий, которую мы зарегистрировали в Реестре программ для ЭВМ в феврале 2023 года.
«Мы понимаем, насколько важен комплексный подход в отражении такого рода атак. Постоянно появляются новые ботнеты, злоумышленники постоянно меняют тактику, атаки становятся мощнее и сложнее. Поэтому мы регулярно дорабатываем нашу систему защиты, расширяем мощности центров очистки. Сейчас атака в 1,1 Тбит/с — для нас не предел. Наша защита способна выдерживать атаки мощностью более 3 Тбит/с».
Всё это позволило нам успешно отразить каждый вредоносный запрос. Атакуемые серверы сохранили работоспособность на протяжении всей атаки. Ни один из клиентов не ощутил на себе никаких последствий от действий злоумышленников.