Мощность DDoS только растет? Аналитика за первое полугодие 2024 от Selectel

Собрали аналитический отчет о DDoS-атаках, отраженных с помощью бесплатного сервиса защиты. Материал полезен для ИБ-специалистов и СТО.

Введение
Сегодня мы наблюдаем тенденцию к ежегодному непрерывному росту количества и мощности DDoS-атак. Это негативно сказывается на доступности как публичных, так и корпоративных сервисов. Последствия для компаний могут быть разными — от финансовых потерь и утечек данных до репутационного ущерба.

Что такое DDoS?
Более 24 000 клиентов Selectel генерируют сетевой трафик объемом свыше 300 Гбит/с. Уникальные данные, которые мы получаем в ходе анализа атак на наши сервисы и проекты клиентов, позволяют оценить ландшафт угроз для облачной инфраструктуры.

Мы в Selectel собрали аналитический отчет о DDoS-атаках, отраженных с помощью бесплатного сервиса защиты за первое полугодие 2024. Данные позволяют оценить динамику и основные характеристики DDoS в разрезе облачной инфраструктуры, скорректировать настройки своих IT-систем для защиты.

Ключевые выводы
Статистика за первое полугодие показывает, что есть тенденция к постепенному росту общего числа и скорости атак.

За период с января по июль 2024 года бесплатным сервисом защиты от DDoS-атак Selectel были отражены 31 436 атак общей продолжительностью в 3 895 часов. Максимальный объем атаки составил 332 Гбит/с, а скорость — 166 млн пакетов в секунду. В среднем мы отражали 5 239 атак ежемесячно. Самыми популярными были UDP Flood и TCP PSH/ACK Flood, которые занимают 66% от общего количества атак.

160 000 ₽/месяц стоила бы защита от DDoS-атак нашему клиенту, если бы он использовал стороннее решение

Наиболее мощные атаки наблюдались в феврале, а продолжительные — в апреле. Средняя общая длительность атак на одного клиента не превышала 4 часов, а максимальное время, в течение которого один клиент находился под атакой, достигло 170 часов.

Максимальное количество атак за месяц на одного клиента в первом полугодии составило 1 160 инцидентов. Подобный объем невозможно отбить вручную, поэтому базовая бесплатная защита — важная часть услуг облачного провайдера.

Аналитика атак
Количество

За период с января по июль 2024 года бесплатным сервисом защиты от DDoS были отражены 31 436 атак.

Наибольшее число инцидентов пришлось на май, причем среднее количество на одного клиента увеличилось почти вдвое. В среднем мы отражали 5 239 атак в месяц и 27 — на каждого атакованного клиента.


Максимальное количество атак на одного клиента в первом полугодии 2024 года изменялось несущественно и составило 1 160 инцидентов в среднем. А наибольшее значение (1 278) пришлось на май.



Мощность
Основные характеристики атаки, определяющие ее мощность на сетевом и транспортном уровнях, — это объем и скорость.

Атаки большого объема, измеряемого в количестве переданных бит за одну секунду, направлены на переполнение полосы пропускания. Наибольший объем был достигнут в феврале и составил 332 Гбит/с.


Несмотря на максимальный объем атаки в феврале, среднее число переданных данных за один инцидент в этом месяце были минимальным. Наибольшие значения среднего объема переданных данных за атаку достигали около 40 ГБ и были зафиксированы в январе и июне. Среднее количество варьировалось не так существенно. Максимальные значения не более чем в 1,3 раза превышали среднюю мощность атак в первом полугодии 2024 года.


Атаки с большой скоростью направлены на исчерпание вычислительных ресурсов сетевого оборудования. Наибольшая мощность была зафиксирована в феврале и достигла более 166 млн пакетов в секунду. Это более чем в 2,7 раза превышает средние показатели в первом полугодии 2024 года.


Продолжительность
Суммарная продолжительность атак с января по июнь 2024 года составила 3 895 часов.

Наибольшая продолжительность атак зарегистрирована в апреле. Она достигает 1 141 часов. Это в 1,75 раза превышает среднюю продолжительность инцидентов в первом полугодии 2024 года.

За исключением апреля, средняя длительность атаки в рассматриваемом периоде не превышала 7 минут, а максимальная длительность — 20 часов. В апреле средняя длительность увеличилась до 12 минут, а максимальная — до 156 часов.


Средняя общая продолжительность атак на одного клиента в первом полугодии 2024 года не превышала 4 часов и варьировалась незначительно, достигнув максимума в апреле.


Максимальная общая продолжительность атак на одного клиента в первом полугодии 2024 года не превышала 100 часов. Наибольшее значение было зарегистрировано в апреле и достигло 172.



Типы атак
Распределение типов атак по месяцам в первом полугодии 2024 года незначительно менялось. Самыми популярными векторами в течение всего периода были UDP Flood и TCP PSH/ACK Flood. Они занимают 66% от общего количества инцидентов.

UDP Flood реализуется путем отправки множества UDP-датаграмм на определенные или случайные номера портов атакуемого узла. Тот проверяет каждый пакет, определяет соответствующее приложение, убеждается в отсутствии активности и отвечает ICMP-сообщением: «Адресат недоступен». Эти действия требуют вычислительных ресурсов, а если их много — вызывают перегруз атакуемого узла.

TCP PSH/ACK Flood реализуется путем отправки множества фальсифицированных ACK-пакетов на определенные или случайные номера портов атакуемого узла, которые не принадлежат ни одной из сессий в списке соединений. Тот, в свою очередь, вынужден тратить вычислительные ресурсы на проверку поддельных пакетов.


Методология
Основной источник данных для отчета — системы защиты от DDoS-атак, которые мы используем на уровне сетевой инфраструктуры дата-центров Selectel. Весь входящий трафик проходит через узлы очистки и анализируется на наличие вредоносной активности.

Нелегитимные запросы отбрасываются — поступает только очищенный входящий трафик. Обладая информацией об исходящем трафике, система использует дополнительные алгоритмы, которые повышают точность фильтрации при TCP-атаках до 99,9%.


Бесплатный сервис защиты от DDoS-атак работает при использовании облачной платформы Selectel, платформенных сервисов, выделенных серверов. А еще — аттестованного сегмента ЦОД и услуги размещения оборудования.

Сервис обеспечивает защиту на сетевом (L3) и транспортном (L4) уровнях от:
  • атак с отражением на основе UDP (DNS, NTP, memcache и пр.),
  • атак с использованием фрагментированного IP-трафика,
  • TCP SYN/RST/PSH flood,
  • различных типов UDP flood и ICMP flood.
Отдельной атакой считается вредоносная активность, которая:
  • направлена на конкретный IP-адрес,
  • относится к одному типу атак,
  • имеет перерывы в активности не более 3 минут.
Пример 1. Атаки UDP Flood на один и тот же IP-адрес с промежутком в минуту будут объединены в одну. В течение трех минут после прекращения активности атака будет считаться завершенной.

Пример 2. Одновременно один и тот же IP-адрес атакуют с помощью Flood- и Reflection-атак. Активность продолжается в течение семи минут. В данном случае будет зафиксировано две атаки.

selectel.ru/services/additional/ddos-protection/

Присоединяйтесь к акции «Зеленый Selectel»



У нас есть проект «Зеленый Selectel». Мы регулярно высаживаем деревья, чтобы внести вклад в развитие регионов, где находятся наши собственные дата-центры.

Проект существует пятый год. За это время мы с нашими клиентами, партнерами и неравнодушными волонтерами высадили уже 80 000 саженцев. Не собираемся останавливаться: в этом году высадим тысячи новых деревьев — по количеству серверов, работающих в наших дата-центрах.

Если вы тоже хотите проявить заботу о природе и поучаствовать в нашем проекте, присоединяйтесь к выезду в Московской области!



Как все пройдет в этом году?
15 сентября выезжаем от офиса Selectel в Москве на ул. Берзарина, 36. Мы приготовим все необходимое:
  • трансфер на комфортабельных автобусах,
  • инструменты для посадки саженцев,
  • вкусный обед и чай из самовара,
  • мерч от Selectel.

Будем рады, если вы составите нам компанию!

Когда: 15 сентября 2024
Где: Орехово-Зуево, Московская область

Для всех участников будет организован трансфер от офиса Selectel в Москве (ул. Берзарина, 36) и обратно. Старт от офиса в 10:00, вернемся в город до 18:00. На месте предоставим необходимый инвентарь для посадок, а также накормим вкусным обедом.

Как еще мы заботимся об экологии?
Серверы, которые работают с искусственным интеллектом, становятся все более мощными и потребляют все больше энергии. Написали статью и рассказали, что мы делаем, чтобы сократить потребление ресурсов.
selectel.ru/blog/ai-growths/?

Изменения в API выделенных серверов и размещенного оборудования



Напоминаем, с 31.08.2024 работа с API выделенных серверов и размещенного оборудования будет доступна только при авторизации с токеном проекта Keystone. Как получить токен проекта Keystone, рассказали в документации.

Не забудьте до 31.08.2024 внести определенные изменения в ваш код и авторизоваться с токеном проекта Keystone, чтобы сохранить интеграцию в рабочем состоянии.

developers.selectel.ru/docs/control-panel/authorization/?pk_vid=3c4f1de32e3a6c2b1724131023d33ef1#токен-для-проекта

Снизили цену на LUN СХД на 40%



Снизили цену на LUN СХД на 40% для новых заказов — до 12 ₽ за 1 ГБ. Минимальный объем заказа остается прежним — 1 ТБ, его стоимость — 12 000 ₽/мес.

Также действуют скидки на объем:
  • 5% от 10 ТБ,
  • 10% от 20 ТБ,
  • 15% от 30 ТБ,
  • 20% от 50 ТБ.
Что такое LUN СХД

LUN СХД — изолированная часть высокопроизводительной системы хранения данных Huawei OceanStor Dorado 5000 V6 из линейки All flash. Мы отвечаем за работу LUN СХД и администрируем его.

Вы можете арендовать LUN объемом от 1 ТБ и подключить к вашим серверам. Производительность — 8 000/8000 IOPS на ТБ.

LUN СХД подойдет для:
  • развертывания собственной системы виртуализации,
  • использования как Persistent Volume для Kubernetes,
  • работы с горячими бэкапами,
  • размещения высоконагруженных баз данных.
Заказать LUN СХД my.selectel.ru/servers/lun

Условия подключения LUN СХД
  • LUN СХД подключается к серверам, расположенным в Москве, в пулах МСК-1 и МСК-2. Для подключения в другом регионе оставьте запрос через тикет.
  • У сервера есть дополнительная сетевая карта от 10 Гбит/с к SAN-сети. Например, можете добавить сетевую карту при заказе сервера произвольной конфигурации или через апгрейд уже заказанной машины. Как это сделать: страница сервера Custom -> вкладка Конфигурация -> кнопка Изменить конфигурацию. В разделе Дополнительные сетевые карты выберите 2 × 10 GE + MPIO к SAN сети 10 Гбит/с.

Также можете подключить LUN СХД к собственному оборудованию, размещенному в наших дата-центрах. Подробности уточняйте у специалистов технической поддержки.
Аренда выделенных СХД

Если вам нужна изоляция на аппаратном уровне, используйте выделенные СХД от Huawei, Infinidat, Lenovo, HPE и других производителей. Все ресурсы СХД будут полностью в вашем распоряжении, а вы сможете заменить капитальные затраты на операционные.

Не можете выбрать оптимальное решение для хранения данных? Оставьте запрос. Наши инженеры свяжутся с вами и предложат решение, которое подойдет для вашей задачи.

Попробуйте помешать Андрею



Наш дежурный инженер Андрей следит за бесперебойной работой серверов. А что, если создать ему небольшую проблему, отключив электричество? Нажмите на переключатель несколько раз и посмотрите, как Андрей справится с такой ситуацией.

А у Андрея ничего не ломается! Хотите узнать, как он обеспечивает стабильную работу серверов? Читайте наш новый материал в Академии Selectel.

selectel.ru/blog/one-day-engineer

1,5 млн IOPS в облачных базах данных



Разверните базу данных на выделенном облачном сервере
Запускаем уникальный продукт, аналогов которому нет в России, — базы данных на выделенном облачном сервере. Получите готовый к работе кластер облачных баз данных с изолированной на физическом уровне инфраструктурой.

Ресурсы сервера отданы одной базе данных одного клиента. Новое решение подойдет компаниям с запросом на хранение данных больших объемов и с высокими требованиями к производительности СУБД.

selectel.ru/services/cloud/managed-databases/vdedicated/

Преимущества DBaaS на выделенном облачном сервере
  • Максимальная производительность. Увеличили производительность DBaaS до 1,5 млн IOPS, пропускную способность —до 7 000 МБ/с.
  • Экономическая выгода. В зависимости от конфигурации стоимость нового решения до 47% ниже стандартного DBaaS-сервиса.
  • Быстрый запуск. Не нужно самостоятельно подбирать железо, оптимизировать настройки и разворачивать CУБД.
  • Безопасность. Соответствует закону 152-ФЗ (УЗ-1), приказу ФСТЭК № 21, PCI DSS, ISO 27001, 27017, 27018.

Технические особенности
  • Сделали все для максимальной производительности ваших баз данных.
  • Собрали конфигурации серверов с высокочастотным процессором Intel Xeon Gold 6240 в односокетной сборке с включенным Turbo Boost и Hyper-threading.
  • Используем специальные планки оперативной памяти ECC REG, рекомендуемые для СУБД.
  • Для дополнительной отказоустойчивости добавили дисковую подсистему на сверхбыстрых NVMe SSD дисках компании Intel, собранных в RAID1.
  • Оптимизировали настройки всех систем на сервере, от BIOS до ОС.

Изменения условий использования отдельных сервисов: Предоставление выделенного сервера



Изменения условий использования отдельных сервисов: Предоставление выделенного сервера
В УСЛОВИЯ ИСПОЛЬЗОВАНИЯ ОТДЕЛЬНЫХ СЕРВИСОВ: ПРЕДОСТАВЛЕНИЕ ВЫДЕЛЕННОГО СЕРВЕРА И ВЫДЕЛЕННОГО СЕРВЕРА ПРОИЗВОЛЬНОЙ КОНФИГУРАЦИИ добавлен пункт 1.2: Заказчик самостоятельно выбирает Регион, в котором физически располагается Выделенный сервер и его доступные характеристики. При предоставлении Исполнителем Выделенного сервера в отличном от России Регионе, Исполнитель перепродает услуги своих партнеров.
Соответствующие изменения вступят в силу 20 августа 2024 года.

Данное уведомление носит информационный характер и не требует каких-либо дополнительных действий.

Актуальная обновленная версия документа доступна на сайте:
files.selectel.ru/docs/ru/conditions-dedicated.pdf

Аукцион выделенных серверов



Присоединяйтесь к аукциону выделенных серверов
Аукцион выделенных серверов — это аукцион, где в качестве лотов — серверы с различными конфигурациями: конкретным ядром, памятью и дисками.

«Торги» начинаются со стандартной стоимости машины. Затем цена начинает снижаться. Сервер можно заказать в любой момент, пока он есть в наличии и на него действует предложение — арендовать сразу или подождать более выгодного момента.

При этом количество машин ограничено. Кто раньше оформит заказ, тот и получает сервер.

email.selectel.ru/auction_preferences

Selectel linux distribution — серверная операционная система



Приглашаем поучаствовать в Beta-тестировании Selectel linux distribution. Мы стремимся сделать дистрибутив максимально комфортным для использования, гибким в настройке и безопасным для критически важной инфраструктуры.

selectel.ru/services/selectel-os/