За два года, с марта 2015 года по февраль 2017 года, исследователи обнаружили, что около одной трети адресного пространства IPv4 подвергалось каким-либо DoS-атакам, когда злоумышленник злонамеренно нарушает работу служб хоста, подключенного к Интернету. IPv4 — это четвертая версия адреса Интернет-протокола (IP), числовая метка, присваиваемая каждому устройству, участвующему в компьютерной сети.«Мы говорим о миллионах атак», — сказал Альберто Дайнотти, научный сотрудник CAIDA (Центр прикладного анализа данных в Интернете), базирующегося в Суперкомпьютерном центре Сан-Диего (SDSC) Калифорнийского университета в Сан-Диего, и руководитель отчета. следователь. «Результаты этого исследования огромны по сравнению с тем, что крупные компании сообщают общественности».Первый автор исследования, Маттис Йонкер, исследователь из Университета Твенте в Нидерландах и бывший стажер CAIDA, добавил: «Эти результаты застали нас врасплох в том смысле, что мы не ожидали их найти.
Это то, что мы просто не предвидел приближения ".Исследование, представленное 1 ноября 2017 года на конференции Internet Measurement Conference в Лондоне и опубликованное в Proceedings of the Association for Computing Machinery (IMC ’17), проливает свет на большинство DoS-атак в Интернете, их жертв и даже принятие коммерческих услуг для борьбы с этими атаками.
Выделены два преобладающих типа DoS-атак, направленных на подавление службы огромным количеством запросов:«Прямые» атаки, которые включают трафик, отправляемый прямо к цели из некоторой инфраструктуры, контролируемой злоумышленниками (например, их собственных машин, набора серверов или даже ботнета под их командованием). Эти атаки часто включают «случайный спуфинг», характеризуемый путем подделки IP-адреса источника в трафике атаки.Атаки «отражения», во время которых сторонние серверы невольно используются для отражения трафика атаки на свою жертву. Многие протоколы, которые допускают отражение, также добавляют усиление, в результате чего количество отраженного трафика, отправляемого к жертве, во много раз больше, чем изначально отправляемый к отражателю.
Для обнаружения атак исследователи — совместные усилия Калифорнийского университета в Сан-Диего, Университета Твенте и Саарландского университета в Германии — использовали два источника необработанных данных, которые дополняют друг друга: сетевой телескоп UCSD, который фиксирует свидетельства DoS-атак с участием случайным образом и единообразно подделанные адреса; и ловушки AmpPot DDoS (распределенный отказ в обслуживании), которые являются свидетелями отражения и усиления DoS-атак.Их данные выявили более 20 миллионов DoS-атак, нацеленных на примерно 2,2 миллиона интернет-адресов «косая черта 24 или / 24» (часть номера маршрутизации, обозначающая длину префикса в битах), что составляет примерно одну треть от 6,5 миллионов / По оценкам, в Интернете есть 24 блока.
A / 24 — это блок из 256 IP-адресов, обычно назначаемый одной организации. Если один IP-адрес в блоке / 24 подвергается огромной массе запросов или объемной атаке, вполне вероятно, что сетевая инфраструктура всего блока / 24 будет затронута.«Другими словами, в течение этого двухлетнего исследуемого периода Интернет подвергался почти 30 000 атак в день», — сказал Дайнотти. «Эти абсолютные цифры ошеломляют, в тысячу раз больше, чем показывают другие отчеты».
Тем не менее, одна из исследователей добавила, что она обеспокоена, что эти статистические данные, вероятно, «недооценивают реальность».«Хотя в нашем исследовании используются самые современные методы мониторинга, мы уже знаем, что не наблюдаем некоторых типов DoS-атак», — сказала Анна Сперотто, доцент кафедры проектирования и анализа коммуникационных систем (DACS) Университет Твенте. «В будущем нам потребуется еще более тщательная характеристика экосистемы DoS, чтобы решить этот вопрос».
Как и следовало ожидать, более четверти целевых адресов в исследовании приходятся на Соединенные Штаты, страну с наибольшим количеством интернет-адресов в мире. Япония, занимающая третье место по количеству интернет-адресов, занимает с 14-го по 25-е место по количеству DoS-атак, что указывает на относительно безопасную страну для DoS-атак, в то время как Россия является ярким примером страны, которая занимает более высокое место по сравнению с оценками по использованию интернет-пространства. предполагая относительно опасную страну для этих атак.Несколько сторонних организаций, предлагающих хостинг веб-сайтов, также были определены в качестве основных целей; Тремя наиболее часто атакованными «крупными партиями» за двухлетний период были: GoDaddy, Google Cloud и Wix. Другие включали Squarespace, Gandi и OVH.
«В большинстве случаев нападению подвергаются клиенты», — пояснил Дайнотти. «Так что, если у вас больше клиентов, у вас, вероятно, будет больше атак. Если вы размещаете миллионы веб-сайтов, конечно, вы увидите больше атак».Помимо количественной оценки количества DoS-атак в Интернете, исследователи также хотели узнать, побудили ли эти атаки владельцев веб-сайтов покупать услуги защиты от DoS-атак.
Их исследование показало, что люди были более склонны отдавать защиту третьим лицам после сильной атаки. В зависимости от интенсивности атаки переход на сторонний сервис может произойти даже в течение 24 часов после атаки.«Одна из вещей, которые мы показываем, заключается в том, что если веб-сайт подвергается атаке, это создает срочную необходимость для людей начать аутсорсинг служб защиты», — сказал Йонкер.
Хотя в исследовании не рассматриваются причины общепризнанного роста DoS-атак в последние годы, в интервью исследователи отметили несколько серьезных возможностей, включая кибервымогательство, киберпреступность, кибервойну, политический протест, направленный против правительств, цензура со стороны авторитетных режимов, атаки, связанные с онлайн-играми (например, для получения конкурентного преимущества), школьники, которые могут нападать, чтобы избежать сдачи экзамена, и недовольные бывшие сотрудники.«Даже нетехнические люди могут запускать серьезные атаки через провайдеров DDoS-as-a-Service (то есть бустеров)», — сказал Йонкер. «Люди могут платить другим подпиской в обмен всего за несколько долларов».
Что касается будущих исследований, исследователи заявили, что хотят оценить влияние атак, чтобы увидеть, удалось ли им отключить целевую сеть; они также изучают политические нападения, подобные тем, что были свидетелями в Египте и Ливии, которые были предметом исследования 2012 года, проведенного исследователями CAIDA.В рамках гранта Министерства внутренней безопасности США (DHS) команда CAIDA также планирует непрерывный мониторинг экосистемы DoS, чтобы своевременно предоставлять данные для анализа агентствам и другим исследователям.
В исследовании также приняли участие: Алистер Кинг, исследователь CAIDA; и Йоханнес Крупп и Кристиан Россоу, оба из CISPA, Саарландского университета.Поддержка исследования поступила от DHS; Справочник исследований ВВС; Нидерландская организация научных исследований; и OpenINTEL, совместный проект Университета Твенте, SURFnet и SIDN.