Это сообщение о предстоящем плановом техническом обслуживании.
Работы коснутся всех точек присутствия.

Техническое обслуживание будет проводиться 1 августа 06:00-07:00 MSK. В работы входит обновление L3-L4 очистителей, во всех точках фильтрации.
Работы затронут только IP адреса находящиеся на постоянной фильтрации для услуг защиты сети, защиты TCP/UDP, защиты сайтов и VDS.
Мы ожидаем несколько кратковременных разрывов TCP соединений с последующим их восстановлением. BGP сессии затронуты не будут, downtime клиентских сервисов не ожидается.
Техническое обслуживание необходимо для того, чтобы сделать наш сервис лучше для вас.

Если у Вас остались вопросы, то Вы можете их отправить на наш e-mail: noc@stormwall.pro или откройте тикет в личном кабинете.

Спасибо за понимание!
Команда StormWall

StormWall, глобальный провайдер DDoS-защиты, изучил атаки за первый квартал 2023 года на клиентов финансовой отрасли, электронной коммерции, сектора телекоммуникации, развлечений, перевозок, образования и логистики. Результаты представлены в первом отчете StormWall за 2023 год.

Оглядываясь на первый квартал 2023 года
В первом квартале 2023 года общее количество атак уменьшилось по сравнению с аналогичным периодом прошлого года. При этом произошел сдвиг в сторону использования ботнетов и участились DDoS-атаки для прикрытия сложных многоцелевых атак на российские компании — их число выросло на 47% по сравнению с первым кварталом 2022 года.

Злоумышленники также начали смещать акцент на жизненно важную инфраструктуру и услуги, включая логистические службы, центры обработки платежей и банковские системы. При этом они стремятся воздействовать на максимально большее число пользователей.

Фокус на критически важной инфраструктуре, которая обычно хорошо защищена, означал, что киберпреступникам пришлось еще больше увеличить свою огневую мощь. Зафиксированные нами атаки достигали максимума в 1,4 Тбит/с и продолжались до четырех дней.
Одновременный рост продолжительности и пропускной способности был обусловлен растущим применением ботнетов — сетей зараженных устройств. Фактически, более 38% атак использовали ботнеты в первом квартале 2023 года.

Обзор тенденций DDoS-атак в первом квартале 2023 года

• Рост отвлекающих маневров: число DDoS-атак, служивших приманкой в многоцелевых сложных атаках, увеличилось на 47% за год (в сравнении с аналогичным периодом прошлого года). Атаки используются злоумышленниками для отвлечения специалистов по безопасности при проникновении в сети или краже данных.
• Растущая мощность атаки: максимальная сила атаки достигла 1,4 Тбит/с, а самая длительная атака шла четыре дня.
• Нацеленность на критически важную инфраструктуру: для максимального ущерба киберпреступники сосредоточили свои силы на таких важных сервисах, как платежные системы и центры управления логистикой.
• Ботнеты продолжают набирать обороты. Более 38% DDoS-атак использовали сети зараженных устройств.
• Возобновление числа политических инцидентов: хактивисты стояли за большинством DDoS-атак на российскую инфраструктуру в 2022 году; в конце 2022 года наблюдалось затишье, но в начале 2023 года возобновились политически мотивированные атаки на российские компании.

Классификация по отраслям: темпы роста DDoS-атак стремительно растут
Частота DDoS-атак резко выросла в большинстве отраслей промышленности, достигнув нового рекордно высокого уровня. Вот распределение инцидентов по секторам за год — начиная от наиболее пострадавших до менее пострадавших сфер:


Классификация DDoS-атак по странам
США, Китай и Индия продолжают возглавлять список наиболее DDoS-атакуемых стран. Заметный всплеск атак наблюдался в Объединенных Арабских Эмиратах: доля атак выросла почти вдвое — с 3,8% в первом квартале 2022 года до 6,4% в текущем году. И наоборот, как в России, так и на Украине наблюдалось снижение активности DDoS-атак, что привело к снижению рейтинга.
Ниже приведена статистика DDoS-атак по странам:


DDoS-атаки по протоколам
В первом квартале 2023 года продолжают набирать обороты ботнеты, в результате количество атак на уровне приложений растет. С другой стороны, количество атак на транспортном уровне, таких как SYN-флуд или UDP-флуд, сокращается.


Вывод
В первом квартале 2023 года наблюдался почти повсеместный рост объема, силы и продолжительности атак. При этом появляются новые тенденции к смещению внимания на транспортные узлы, что подчеркивает растущую угрозу DDoS-атак.

Вызывает беспокойство то, что злоумышленники адаптировали свою тактику, интегрируя DDoS-атаки в многовекторные инциденты. По этой причине организациям пришлось решать проблемы не только с перебоями в работе из-за перегрузки серверов, но и с утечками данных, программами-вымогателями и другими угрозами. Подобные тенденции характерны уже для первого квартала 2023 года — это настораживает и заставляет задуматься об их возможной эскалации в будущем.

На основе анализа данных атак, StormWall прогнозирует рост DDoS-атак на 170% к концу 2023 года. Рекомендуем всем предприятиям обратиться за профессиональной защитой от DDoS-атак, чтобы обеспечить свою безопасность в предстоящем году.

Отчет StormWall о «DDoS-атаках за 2022 год» — это обзор общей картины атак в 2022 году с разделением на наиболее пострадавшие отрасли и исследование тенденций в области DDoS.

DDoS-атаки эволюционировали в 2022 году
И снова 2022 год стал во многих отношениях рекордным. По мере того, как киберпреступники совершенствовали бот-сети, неуклонно росло количество атак со скоростью несколько терабит в секунду.

Если в 2021 году максимальная мощность атаки составляла около 1 терабита в секунду (Тбит/с), то в этом году она почти удвоилась: в 2022 году атаки, достигающие 2 Тбит/с, стали пугающе частыми.
Аналогичным образом, в течение года неуклонно росла и продолжительность нападений. К концу 2021 года большинству компаний приходилось сталкиваться с инцидентами длительностью до 3 дней.

Всему этому способствовало появление сложных ботнетов. Изначально разработанные хактивистами для политически мотивированных действий, они перешли в руки обычным преступникам.

Начало года ознаменовал резкий всплеск DDoS-активности хакеров и хактивистов в первом квартале. Тенденция перешла во второй квартал, а затем и в третий. И приостановилась в четвертом квартале — активность хактивистов пошла на убыль.

Общие тенденции DDoS-атак в 2022 году

• В целом, количество DDoS-атак в 2022 году увеличилось на 74% по сравнению с аналогичным периодом прошлого года.
• Но в четвертом квартале ситуация изменилась: с конца октября рост атак замедлился и продолжил падение в ноябре. А в декабре количество атак сократилось на целых 53% по сравнению с предыдущим месяцем.
• Год ознаменовался резким увеличением мощности ботнетов, что привело к более сильным и продолжительным атакам.
• Действия киберпреступников были нацелены большей частью на индустрию финтеха. На отрасль пришлось 34% инцидентов. Также в 12 раз увеличилось количество атак на финансовые услуги.
• Хактивисты, разрабатывая инструменты для политически мотивированных действий, сумели увеличить силу и продол

жительность атак. А новые сложные ботнеты приняли на вооружение коммерческие преступники.

Статистика DDoS-атак по отраслям
Какие отрасли больше всего пострадали от DDoS:

• Финансы: 34%
• Телекоммуникации: 26%
• Розничная торговля: 17%
• Развлечения: 12%
• Страхование: 6%
• Образование: 2%
• Логистика: 2%
• Другие: 1%

Финансы
В 2022 году основной удар DDoS-атак пришелся на финансовую индустрию, причем почти треть всех атак (34%) была нацелена на эту сферу.
В этом секторе наблюдался и самый резкий рост атак: их количество увеличилось в 12 раз по сравнению с аналогичным периодом прошлого года.

Индустрия финтеха — традиционно «горячая точка» DDoS-атак: злоумышленники часто проводят мощные атаки на финансовые онлайн-сервисы, чтобы нарушить процесс обработки платежей. Подобное проводится в рамках тактики вымогательства или как дымовая завеса для отведения внимания от одновременного взлома вредоносного ПО или программы-вымогателя. Но в 2022 году множество инцидентов было инициировано хактивистами, особенно в первые два квартала года. Ближе к четвертому кварталу их активность снизилась.

Атаки длились в среднем по 8 часов, а максимальная мощность, наблюдаемая StormWall, достигала 1 миллиона запросов в секунду. Такие атаки возможны только с использованием сложных ботнетов. Это один из примеров, когда инструменты, изначально разработанные хактивистами для собственного использования, начинают получать более широкое распространение, формируя общий ландшафт угроз.

Телекоммуникации
Телекоммуникационная отрасль заняла второе место по количеству атак (26%). Количество атак увеличилось в 4 раза по сравнению с аналогичным периодом прошлого года.
Поскольку пандемия вынудила многие компании перейти на удаленную работу, видеоконференции стали незаменимым элементов критически важных бизнес-процессов. И политически мотивированные злоумышленники, и хакеры осознали эту возможность и начали активно атаковать компании этого сектора. Цели атак варьировались от хактивизма до вымогательства.

Пиковая мощность атаки здесь достигла 1,2 Тбит/с. Средняя продолжительность составила 8 часов. Многие телекоммуникационные компании никогда раньше не сталкивались с киберугрозой такого масштаба. Неподготовленные DDoS-атаки немного нарушили работу их служб, но большинство компаний избежали серьезных сбоев в работе.

Большинство атак на отрасль телекоммуникации можно отнести к попыткам снизить конкуренцию с помощью DDoS. Также киберудары по этой отрасли исходят от хактивистов, постоянно ищущих новые мишени.

Розничная торговля
В 2022 году на отрасль ритейла пришлось 17% DDoS-атак.
При этом количество атак на интернет-магазины увеличилось на 53% по сравнению с аналогичным периодом прошлого года. Большинство инцидентов были вызваны недобросовестной конкуренцией: компании атаковали конкурентов, чтобы привести их магазины к закрытию и увеличить свою долю на рынке.

Как обычно, пик атак пришелся на праздники, когда покупатели устремились в интернет-магазины за подарками и скидками. Резкий скачок атак произошел в феврале за неделю до Дня Святого Валентина (рост на 38% по сравнению с предыдущей неделей) и в ноябре, особенно в преддверии Черной пятницы и киберпонедельника.

Тенденция к более широкому использованию ботнетов здесь сохраняется — некоторые атаки были необычайно мощными, а средняя продолжительность ударов составляла около 3 часов.

Эти данные рисуют тревожную картину. Хотя владельцы онлайн-магазинов давно использовали DDoS-атаки для недобросовестной конкуренции, обычно они прибегали к ботнетам. Эти инструменты требовали определенной технической базы и стоили дорого. Но сейчас все меняется: упрощается процесс запуска ботнетов, дешевле становится поддерживать их длительность. Таким образом, вполне вероятно, что подобные атаки не только продолжатся в 2023 году, но будет расти их сила и продолжительность.

Развлечения
За 2022 год на индустрию развлечений выпало 12% всех DDoS-атак от общего числа атак за год.
Количество инцидентов при этом увеличилось в 3 раза по сравнению с аналогичным периодом прошлого года.

Поскольку карантинные меры во всех странах отменяются, пользователи тратят меньше времени на онлайн-контент. Это несколько уменьшает возможность хакеров использовать время простоя в качестве рычага для вымогательства. Поэтому доля атак на индустрию развлечений снизилась на 12% по сравнению с предыдущим годом, и злоумышленники переключили свое внимание на другие отрасли.

Но общее количество кибератак растет во всех отраслях, что объясняет 5-кратное увеличение общего числа инцидентов.

Страхование
Около 6% DDoS-атак в 2022 году были направлены на предприятия отрасли страхования, что в 5 раз больше по сравнению с аналогичным периодом прошлого года.
Злоумышленники посредством DDoS-атак часто пытаются вымогать деньги у страховых компаний. Конкуренты по бизнесу используют вредоносные программы чтобы занять более прочные позиции на рынке. DDoS-атаки особенно разрушительны для предприятий в этом секторе — они могут привести к значительным финансовым потерям, оттоку клиентов и серьезному репутационному ущербу. В конце концов, для страховщиков имеет первостепенное значение доступность услуг.

Образование
В 2022 году на сферу образования приходилось 2% DDoS-атак. Их количество увеличилось на 36% по сравнению с предыдущим годом.
Зависимость от онлайн-обучения быстро растет после пандемии. Фактически, около 77% студентов государственных колледжей в настоящее время посещают хотя бы один курс онлайн. Но обеспечивающие этот процесс сети недостаточно защищены. А DDoS-атаки сейчас настолько легко запускать, что с этим справятся даже студенты. Действительно, некоторые из атак, зафиксированные в этом году, были совершены студентами — они атаковали свои академические сети во время экзаменов.

Но многие инциденты были спровоцированы хактивистами, пытавшимися сорвать кампании по приему в вузы России: резкий всплеск атак на университеты страны произошел в первом квартале 2022 года.

Несколько веб-сайтов, которым не хватало профессиональной защиты от DDoS, столкнулись с длительным отключением. Многие критически важные сервисы не работали, из-за чего студенты не могли подать заявления на поступление. Учебным заведениям для восстановления сети поэтому приходилось лихорадочно подключать защиту от DDoS.

Логистика
В 2022 году на долю логистики пришлось 2% DDoS-атак. Наблюдалось увеличение частоты атак на 64% в сравнении с прошлым годом.
Цифровые цепочки поставок предприятий основаны на взаимодействующих компонентах, подобно звеньям в цепи. Многие из них поддерживаются сторонними поставщиками, и клиент в основном должен доверять их способности защитить эти системы. Но некоторые поставщики по-прежнему используют программное обеспечение с открытым исходным кодом, а некоторые из них ослабили меры безопасности в «постпандемическом мире» удаленной работы. Это создает огромную уязвимость и делает устойчивые в других отношениях компании подверженным атакам.

Цепочки поставок настолько прочны, насколько прочно их самое слабое звено, поэтому разрушение одного из звеньев может привести к сбою всей системы поставок. Конечно, хакеры быстро воспользовались этой возможностью, отвлекая команды кибербезопасности DDoS-атаками, устраивали бэкдор-атаки. А это может привести к нарушениям и утечкам конфиденциальных данных.

Но коммерческие преступники были не единственным источником опасности в этом году. Хактивисты также запустили серию крупномасштабных DDoS-атак на логистические предприятия в России в попытке вывести из строя критически важные цепочки поставок.
DDoS-атаки по протоколам

• HTTP/HTTPS 78%
• TCP/UDP 17%
• DNS 2%
• Другие 3%

Подавляющее большинство DDoS-атак в 2022 году (78%) было направлены на прикладной уровень модели OSI.
Только 17% атак были направлены на сетевой и транспортный уровни, и еще меньше атак на DNS (3%).

Интересно, что по сравнению с прошлым годом распределение атак по протоколам изменилось в обратную сторону. В третьем квартале 2021 года более 80% атак представляли собой лавинную рассылку пакетов, нацеленную на транспортный и прикладной уровни. Поддерживать HTTP-потоки, способные постоянно перегружать корпоративные сети, было просто слишком дорого. В этом году все изменилось, так как стоимость использования сложных ботнетов снизилась, в то время как их огневая мощь, наоборот, многократно возросла.

Это вынудило предприятия переосмыслить защиту от DDoS, поскольку мер безопасности, принятым для повышения их устойчивости к наводнениям TCP/UDP, сегодня недостаточно.
DDoS-атаки по странам

• США: 18,3%
• Китай: 10,7%
• Индия: 9,2%
• Россия: 8,4%
• Англия: 7,2%
• Германия: 6,8%
• Франция: 5,3%
• Япония: 4,7%
• Украина: 4,5%
• Бразилия: 4,2%
• ОАЭ: 3,8%
• Испания: 3,6%
• Италия: 2,8%
• Турция: 2,3%
• Сербия: 1,7%
• Венгрия: 1,4%
• Другие: 5,1%

США были атакованы 18,3% от общего числа DDoS-атак, понеся самые тяжелые потери. Как и во всем мире, атаки достигли пика в первом и втором кварталах года. В третьем квартале тенденция изменилась, а в четвертом — снизилась. Злоумышленники были наиболее активны по пятницам, возможно, — в надежде застать службы безопасности врасплох в конце недели.

Китай, на который пришлось 10,7% атак, стал второй по популярности мишенью DDoS-атак прошлого года. Китай традиционно является крупным источником мирового DDoS-трафика.

Индия была близка к тому, чтобы занять нежелательное 2-е место. Но она удостоилась третьего места: на республику было совершено 9,2% от всех инцидентов. Некоторые атаки можно отнести к хактивизму, но это была не единственная причина. Ряд инцидентов были совершен с целью вымогательства или в рамках многовекторных атак.

Россия, четвертая страна по частоте совершенных на неё атак, пострадала от 8,4% общего числа киберугроз в мире.

Очевидно, подобные высокие показатели связаны с российско-украинским конфликтом, который по понятным причинам сделал первую главной мишенью хактивизма. Эксперты StormWall считают, что большая часть нападений исходила от хактивистов — ими двигали политические мотивы. Не имея профессиональных технических знаний, они действовали по инструкции и специализированному ПО инициаторов атаки.

Главный удар DDoS-атак на российские компании был направлен в сектор финтеха (28%), телекоммуникации (18%), госсектор (14%), ритейл (12%), развлекательная сфера (10%), страхование (7%), СМИ (5%), образование (3%), логистика (2%) и остальные (1%).

Таким образом, пострадали все отрасли — от образования до финансов, поскольку независимые и спонсируемые государством банды подвергли страну настоящему обстрелу. Они изо всех сил пытались вывести из строя важнейшую инфраструктуру, парализовать бизнес и банковское дело, а также саботировать экономику в целом.

Более тривиальная история произошла в Великобритании, на нее пришлось 7,2% DDoS-атак. Будучи одной из самых развитых экономик в мире, она, как правило, становится мишенью для коммерческих преступников, пытающихся сорвать куш.

Заключение
В этом году киберпреступники значительно продвинулись вперед и практически удвоили свою огневую мощь. К сожалению, то же самое нельзя сказать об устойчивости к DDoS-атакам большинства компаний — продолжительность и мощность атак растет быстрее, чем организации улучшают свои меры по борьбе с ними.

Трудно переоценить последствия этих нападений. В случае успеха они приводят к многодневным простоям, нарушают процесс обучения, ограничивают доступ к информации и даже к банковским операциям. И угроза будет только расти. Вот почему StormWall рекомендует всем компаниям сотрудничать с профессиональным партнером по безопасности, чтобы повысить устойчивость к DDoS-атакам.

12 марта 2023 года компания StormWall переступает свой 10-летний рубеж. За 10 лет защиты мира от DDoS проделано немало работы — вспомним главные достижения.

StormWall сегодня — один из сильнейших проектов на российском и международном рынках DDoS-защиты. К 2023 году компания открыла шесть собственных центров очистки трафика: в Москве, Франкфурте-на-Майне (Германия), Гонконге (Китай), Алматы (Казахстан), Вашингтоне (США) и Сингапуре (Юго-Восточная Азия). Такой охват географии обеспечивает емкость очистки до 3,5 Тбит/с и позволяет подключать клиентов из разных точек планеты с минимальной задержкой при прохождении трафика.

StormWall начал свою деятельность в 2013 году — и из команды двух человек он вырос в проект со штатом в 60 сотрудников, работающих в семи разных странах. Компания разработала собственный продукт с гибкими настройками защиты от DDoS-атак в реальном времени и с использованием искусственного интеллекта. Личный кабинет StormWall отличается интуитивно понятным интерфейсом и многообразием полезных функций.

StormWall сегодня защищает клиентов от DDoS-атак в 70 странах и стремится к расширению географии своего присутствия: в 2021 году сервисы StormWall получили признание у крупных телеком-операторов Африки и Ближнего Востока. Для российских компаний 2022 год выдался рекордным на число кибератак — некоторые из них длились неделями и отличались особой мощностью. Ситуацию усугублял массовый уход зарубежных провайдеров защиты с российского рынка. На замену пришли отечественные решения — сервисы StormWall за 2022 года помогли защитить 200 организаций от DDoS-атак и обеспечить им бесперебойную работу.

Компания StormWall планирует работать над функциональностью своих ключевых продуктов, улучшать инструменты личного кабинета и развивать партнерскую сеть. Спасибо нашим партнерам и клиентам за поддержку — вы помогаете нам развиваться, мы работаем для вас и рады видеть, что вы довольны сервисом.

StormWall наградили золотой премией в номинации «Решения защиты от DDoS» конкурса Globee®Cybersecurity Awards. Это одна из ведущих бизнес-премий мира, Globee® Awards — ежегодный конкурс, организуемый в целях повышения осведомленности о проблемах киберзащиты, в 2023 году он прошел в 19-й раз.

Награда Globee®Cybersecurity Awards присуждается компаниям из сферы кибербезопасности за лучшие и современные решения защиты в разных категориях: обнаружения угроз, облачная безопасность, конфиденциальность данных, управление рисками и прочих.

Решение о награждении на GlobeeCybersecurity Awards 2023 принимали более 250 судей со всего мира разных направлений кибербезопасности. Подробнее о мероприятии — на официальном сайте GlobeeAwards

StormWall — участник ассоциации разработчиков (АРПП) «Отечественный софт». 19 апреля 2023 года состоялось ежегодное подведение итогов объединения, на котором компанию StormWall поздравили с 10-летним юбилеем.

Событие состоялось на площадке Торгово-промышленной палаты РФ, среди приглашенных — более 170 представителей агентств, разрабатывающих ПО, главы профильных ведомств, специалисты в области ИТ и СМИ. Компанию StormWall представил Сергей Лахин, коммерческий директор.


Максут Шадаев подчеркнул открывшиеся пути для улучшения показателей отрасли и указал на значимость грантов как о временных вспомогательных мерах. По мнению министра, одним из способов повышения востребованности отечественного ПО могут быть дополнительные целевые показатели для госорганизаций.

Годовые показатели динамики импортозамещения ПО представил в своем докладе Илья Массух. Так, расходы на российское ПО увеличились более чем на 70%, а зарубежный софт стали покупать меньше на 25%. Наиболее заметен спрос на замещение средств виртуализации, серверного и связующего ПО, офисных пакетов, ERP, CAD.

Подробнее об итогах собрания и выступлениях других спикеров — на официальном сайте ассоциации.

StormWall благодарит организаторов мероприятия за атмосферу и возможность обсудить вопросы объединения передовых разработчиков ПО и их влияния на ландшафт ИТ-отрасли. Также команда StormWall признательна за поздравления от АРПП с юбилеем.

Прозрачные настройки защиты от DDoS-атак, больше полезных функций и внимание к деталям — с конца прошлого года StormWall дополнил личный кабинет рядом новых возможностей. Рассматриваем их подробно.

Защита сайтов от DDoS
Защита сайта от DDoS происходит на всех уровнях модели OSI, а в личном кабинете StormWall организован полный доступ к аналитике в режиме реального времени и интерактивным проверкам. Здесь каждый пользователь может самостоятельно задавать удобные для его проекта параметры защиты.

Greylist
К уже существующим стандартным White- и Black-листам в личном кабинете и через API добавлена возможность настройки Grey-листов. Внесенные в этот список IP-адреса и сети могут быть защищены по параметрам: Redirect, JS-валидация или CAPTCHA.



Примеры использования Grey-листов:

• подозрительные IP-адреса, если при этом нет серьезных оснований для их блокировки;
• тестирование уровней защиты без активации защиты для всего сайта (достаточно внести в список IP-адреса тестировщиков DDoS-защиты и не беспокоиться, что это отразится как-то на остальных пользователях сайта).

Если раньше для проверки DDoS-защиты требовалось выбирать время и активировать более высокий уровень проверок для всего сайта, то сейчас проверить работу сайта под защитой можно без этого, добавив IP проверяющего в Greylist.

Location Filters
Удобный счетчик по конкретным локациям (URL) домена, дает возможность указать количество обращений с определенными методами за определенный отрезок времени, а при превышении этого лимита — выполнить заданное действие. Позволяет точечно определять допустимое количество запросов к определенным URL сайта.

Нововведение поможет блокировать ботов, даже если они обладают полным стеком браузера и могут обходить другие проверки. То есть бан будет введен для ботов с продолжительной активностью или, к примеру, при получении ими ошибки 403 определенное количество раз.


Примеры использования Location Filters:

• защита от брутфорса (взлома учетных записей путем подбора паролей к ним);
• определение запросов ботов или людей с сервисов anti-CAPTCHA за счёт указания максимального числа запросов за продолжительный интервал времени;
• блокировка доступа в административную систему сайта.

Дополнительные возможности Location Filters:

• поддержка API, возможность настройки автоматизации,
• фильтрация по типу контента, http-методам;
• субъект обсчёта uid (уникальный идентификатор, присвоенный пользователю системой) и IP-адрес инициатора запроса.
• Действия, которые можно применить в Location Filters — бан посетителя либо логирование его запросов.
• Цепочки правил HTTP (HTTP Rule Chains)

Новая функция* личного кабинета, ранее доступная только для решений класса WAF, дает возможность выстраивать целый «конструктор» правил по протоколу HTTP — с многоуровневыми проверками, учетом заголовков, локаций, количества запросов в заданный интервал.

Проверка действует по следующему принципу: запросы пропускаются через цепочку правил, при этом можно выбирать действия, совершаемые с запросом как при выполнении, так и при невыполнении условий: пропустить, заблокировать, либо обработать в следующей цепочке. Такая древовидная структура позволяет создавать более надежную защиту от ботов, парсеров и средств автоматизации обхода защиты.

*Обратите внимание, что эта возможность доступна только в тарифе Enterprise.


Поддержка сертификатов ГОСТ TLS и российских криптоалгоритмов
Мы реализовали полную поддержку SSL-сертификатов, выданных российскими УЦ и ГОСТ-криптоалгоритмов, поддерживаемых отечественными браузерами.

Теперь в личном кабинете можно загрузить одновременно ГОСТ-овый и обычный сертификат — сайт будет без ошибок открываться и в российских браузерах (и работать с ГОСТ-шифрами) и в обычных (со стандартным TLS/SSL).

Защита сервисов TCP/UDP и сети по BGP: настройка black/white листов
Самостоятельно редактируйте списки разрешенных/запрещенных IP-адресов или сетей: например, добавляйте в исключения защиты IP-адреса партнерских систем, удаленных офисов для пользователей VPN с определенных адресов.


Все перечисленные новые опции в личном кабинете можно настраивать самостоятельно или с помощью техподдержки. Возможна автоматизация функций и работа с бэкендом приложений и сервисов с помощью StormWall API.

StormWall постоянно совершенствует свою платформу фильтрации от DDoS-атак и развивает услугу в сторону подробной аналитики и максимальной управляемости. Так, мы планируем увеличить объемы очистки сети, добавить возможность настройки защиты от других типов ботов — и еще многое другое. Следите за обновлениями на официальном сайте и в социальных сетях.

Серверы DNS нередко становятся целями кибератак, что неудивительно: система доменных имен (DNS) является одним из ключевых компонентов Интернета, и сбои на ее узлах оказываются весьма болезненными как для их владельцев, так и для их пользователей. Среди наиболее частых на сегодня видов киберударов по DNS — DDoS-атаки.

Цель DDoS-атак на DNS — добиться того, чтобы DNS-серверы не смогли обработать, по крайней мере, заметную часть поступающих к ним запросов, в результате чего клиенты этих серверов не могут получить доступ к сайтам по их доменным именам. Если атакованный DNS-сервер обеспечивает доступ к интернет-ресурсам в конкретном дата-центре, то доступ извне к этим ресурсам по их доменным именам тоже будет ограничен.

Отказ DNS-сервера в обслуживании может достигаться одним из двух способов. Первый, самый банальный — переполнение канала, связывающего сервер DNS с Интернетом. Второй способ, более хитрый — создание мощного потока нелегитимных запросов к DNS-серверу, обработка которых приводит к сильному снижению его производительности. Если мощности сервера окажется недостаточно, он может и вовсе на какое-то время стать недоступным.

Согласно статистике нашей компании, в первом полугодии 2022 года атаки на DNS занимали второе место по общему числу DDoS-атак в России. В третьем квартале они переместились на «почетное» третье место. Как видим, угроза DDoS-атак остается актуальной, поэтому владельцам DNS-серверов и клиентам сервисов DNS нужно быть постоянно готовыми к новым подобным атакам.

Виды DDoS-атак на серверы DNS
На практике чаще всего встречаются три вида атак этого типа: DNS-флуд, атаки на DNS с отражением (DNS Reflection) и с усилением (DNS Amplification).

• DNS-флуд строится на генерации потока нелегитимных запросов к DNS-серверу, выбранному в качестве жертвы. Мощность потока при этом должна быть достаточной, чтобы затруднить работу DNS-сервера или вовсе исчерпать его вычислительные ресурсы. Для организации атаки злоумышленники используют ботнеты, которые отправляют пакеты (зачастую некорректные) с запросами, указывая при этом сфальсифицированные (нередко сгенерированные случайным образом) IP-адреса. DNS-сервер пытается определить, что с такими запросами делать и каким образом их обработать, и расходует на эти цели существенную часть своих ресурсов — вплоть до полного их исчерпания. Отметим, что в этом типе DDoS-атак применяется прямое воздействие ботнетов на сервер DNS, поэтому такие атаки относят к категории симметричных.
• Атаки на DNS с отражением организуются путем отправки поисковых запросов не на сам сервер-жертву, а на сторонние DNS-серверы, имеющие уязвимости, указывая в качестве обратного адреса IP-адрес сервера-жертвы. В результате на DNS-сервер, выбранный в качестве жертвы, приходит поток ответов, мощность которого оказывается во много раз больше, чем совокупная мощность исходного потока сфальсифицированных запросов к сторонним DNS-серверам. Таким образом, в атаках с отражением используется опосредованное, асимметричное DDoS-воздействие на DNS-сервер.
• Атаки на DNS с усилением представляют собой усовершенствованный вариант DNS-атак с отражением: в них создается поток «отраженных» пакетов, во многие десятки раз больший по мощности, чем исходный поток поддельных запросов к сторонним DNS-серверам. Такой эффект может быть достигнут, например, путем отправки сфальсифицированных запросов определенного вида на сторонние DNS-распознаватели (DNS resolvers). Каждый из ответов будет в 60-70, а то и более раз длиннее исходного. При достаточной мощности исходного потока сфальсифицированных запросов ответы, отправленные к серверу-жертве, могут переполнить весь его канал связи с Интернетом. DDoS-атаки на DNS с усилением, также как и атаки с отражением, относятся к категории асимметричных.

Примеры DDoS-атак на DNS
Одна из недавних громких атак на DNS-серверы началась в конце февраля 2022 года, когда политически мотивированные злоумышленники нацелились на инфраструктуру компании RU-CENTER — одного из крупнейших в России регистраторов доменных имен и хостинг-провайдеров. Последствия этой атаки в скором времени почувствовала не только сама компания, но и многие ее клиенты, с которыми работаем и мы: их сайты были то доступны, то недоступны, причем такая нестабильность наблюдалась в общей сложности несколько суток. Наши специалисты помогли компании RU-CENTER восстановить работоспособность ее DNS-серверов, а подключение наших сервисов защиты позволило обеспечить их непрерывную доступность в дальнейшем.

Как видим, угрозы DDoS-атак на DNS-серверы вынуждены учитывать и клиенты организаций, владеющих автономными сетями, и, конечно же, сами эти организации. Что важно, этим атакам могут подвергнуться не только на регистраторы доменных имен, провайдеры хостинговых и облачных сервисов, но и, например, банки. Так, одними из первых в конце февраля 2022 года DDoS-ударам подверглись именно их DNS-серверы — злоумышленники рассчитывали таким образом вывести из строя сети банкоматов.

Риски DDoS-атак для владельцев DNS-серверов и их клиентов
Клиенты успешно атакованного DNS-сервера сталкиваются с нестабильностью или полным отсутствием доступа к сайтам по их доменным именам. Ситуация для клиентов усугубляется тем, что они не могут быстро подключить DDoS-защиту. Из-за того, что атакованный DNS-сервер не справляется с оперативной обработкой легальных запросов, замена прежних IP-адресов на защищенные от DDoS-атак может длиться по несколько часов, а не несколько минут, как обычно.

Владельцы незащищенного DNS-сервера могут столкнуться не только со сбоями в бизнес-процессах и простоями своих сотрудников, но также с претензиями и исковыми заявлениями своих клиентов. Часть из них наверняка предпочтет перейти к конкурентам, чьи сервисы DNS более надежно защищены от DDoS-атак. Какая-то часть непременно расскажет о сбое в своих новостях, блогах и соцсетях, что для владельцев DNS-серверов чревато репутационными издержками. При определенных условиях они вполне способны обернуться реальными финансовыми потерями.

Способы повышения устойчивости DNS-серверов к DDoS-атакам
Для тех, кто пользуется внешними сервисами DNS, главным способом повышения устойчивости к DDoS-атакам на DNS является резервирование этих сервисов. Чтобы его обеспечить, нужно подключиться, как минимум, к двум провайдерам сервисов DNS, причем хотя бы один из этих сервисов должен быть надежно защищен от DDoS-атак.

Владельцам собственных серверов DNS необходимо предпринять целый ряд мер. Прежде всего, нужно найти провайдера сервисов DDoS-защиты, умеющего фильтровать атаки на DNS. Получив от клиента IP-адреса его DNS-серверов, этот провайдер установит подключение и запустит BGP-сессию, в которой клиент анонсирует нужные IP-префиксы в сеть провайдера. Получив анонсы, провайдер их примет и обеспечит фильтрацию трафика.

Следует обратить внимание на то, что далеко не все провайдеры защиты умеют ограждать DNS-серверы от DDoS-рисков. Наиболее компетентные, такие как StormWall, обладают богатым арсеналом способов фильтрации DNS-трафика от нелегитимных пакетов и умело применяют их в зависимости от особенностей конкретного клиента.

Многие другие наши рекомендации вытекают из сформулированных ранее принципов защищаемости от DDoS-атак. Чтобы у злоумышленников было как можно меньше «полезной» информации о ваших ресурсах, нужно, во-первых, ограничить круг лиц, имеющих права системного администратора для доступа к серверам DNS. Важно при этом, чтобы те, кто имеют такие права, могли получать доступ только изнутри сети либо через VPN. Все неиспользуемые сетевые протоколы, сервисы и прочие функции DNS-серверов нужно отключить.

Кроме того, необходимо добиться устойчивости работы DNS-серверов в условиях слабых атак. Для этого нужно, чтобы достаточным запасом производительности и пропускной способности обладали не только сами серверы DNS, но и связанные с ними инфраструктурные компоненты, например балансировщики нагрузки серверов. Повысить отказоустойчивость DNS-серверов поможет и их размещение в разных дата-центрах. При этом желательно, чтобы они относились к разным сегментам сети и имели по несколько путей маршрутизации трафика, чтобы злоумышленники не смогли добиться отказа в обслуживании DNS-серверов простым переполнением их каналов доступа в Интернет.

Важно также отключить рекурсивную обработку запросов на DNS-серверах, поскольку злоумышленники могут использовать ее для спуфинга. Кроме того, полезно отключить перенос доменных зон на ваши DNS-серверы и запретить динамическое обновление зон DNS.

Как мы уже сказали, владельцам автономных сетей нужно быть постоянно готовыми к DDoS-атакам на них. А это означает, что необходимо заранее разработать план аварийного восстановления атакованных DNS-серверов — он может потребоваться, например, в случае, если атака не просто привела к деградации их производительности, но и сопровождалась спуфингом или другими действиями, нарушающими целостность их баз данных. И, очевидно, нужно заранее готовить специалистов к подобным ситуациям, чтобы они четко знали, кто и что должен делать, если они случатся.

stormwall.pro

В 2022 году владельцы части российских веб-ресурсов в силу ряда причин, от санкционных до регуляторных, столкнулись с необходимостью использования SSL-сертификатов, выданных российскими центрами сертификации и рекомендацией использования отечественных алгоритмов шифрования (т.н. ГОСТ TLS). Особенно это актуально для госструктур и банковской сферы.

Однако поддержкой российских УЦ и алгоритмов пока может похвастаться относительно небольшой процент браузеров (среди которых Яндекс.Браузер, Chromium Gost, VK Atom), а также пользователи со специально установленным криптопровайдером. Пользователи же распространенных Chrome, Safari, Firefox и др., в которых нет поддержки российских криптоалгоритмов при использовании TLS вынуждены видеть сообщение об ошибке (см. ниже).



Что это значит?
TLS (и его более известный предшественник SSL) – это набор криптографических стандартов, которые обеспечивают безопасность Интернета путем проверки подлинности ресурса и шифрования данных, передаваемых между браузером и сервером. Таким образом, снижается вероятность кражи данных при их пересылке, а также существенно усложняются атаки типа “фишинг” и “Man in the Middle (MITM)”.

До недавнего времени многие российские предприятия приобретали и обновляли сертификаты для сайтов у зарубежных компаний, например DigiCert (GeoTrust, Thawte, RapidSSL), Sectigo, IdenTrust или GlobalSign. Однако в настоящий момент для части пользователей затруднена либо ограничена покупка таких сертификатов, а в некоторых отраслях необходима установка российского TLS-сертификата.

Для этого в России создается своя экосистема, позволяющая проверять подлинность цифровых сертификатов при соблюдении принципов импортонезависимости, предполагающая использование собственных удостоверяющих центров и алгоритмов (ГОСТ Р 34.10-2012).

Как работает решение StormWall
В первую очередь, наши разработчики реализовали полную “нативную” поддержку серверных ГОСТ SSL сертификатов, выданных УЦ (алгоритм подписи ГОСТ Р 34.10-2012). Также мы реализовали поддержку блочных шифров “Кузнечик” и “Магма”, чтобы полностью удовлетворить требования регуляторов.

Следующим шагом была реализация одновременной поддержки ГОСТ- и стандартных SSL/TLS-сертификатов, а также обоих наборов шифров, которую можно включить для одного и того же сайта.

Система защиты StormWall во время “рукопожатия” HTTPS определяет набор поддерживаемых шифров. Если клиент поддерживает ГОСТ — используется ГОСТ-сертификат и шифрование, а если нет — стандартные механизмы SSL/TLS. Таким образом, все пользователи могут получить доступ к ресурсу: ниже пример того, как для одного и того же сайта отображаются разные сертификаты в зависимости от браузера.


Информация о сертификате сайта в другом популярном браузере, на примере Google Chrome


Информация о сертификате сайта в российском браузере

Установить российский SSL-сертификат, можно самостоятельно в личном кабинете. Чтобы включить его одновременную работу со стандартным сертификатом TLS (в т.ч., выданным Let's Encrypt), обратитесь в техническую поддержку StormWall, которая работает круглосуточно.
stormwall.pro

Хотя клиенты интернет-провайдеров (ISP) арендуют каналы связи с вполне определенной полосой пропускания, счета им нередко выставляются не за всю ее ширину, а за фактически потребленную величину полосы пропускания. У ISP-провайдеров этот метод известен как пакетный биллинг (Burstable Billing). Причем, как правило, учитывается эта фактически потребленная полоса пропускания не по самому высокому из показателей, зафиксированных в ходе замеров трафика, а с отбрасыванием 5% максимальных – по наибольшему из 95% оставшихся значений. Этот метод в телекоме как раз и называют 95-м перцентилем. В данной статье приведен пример расчета 95-го перцентиля именно в StormWall, у разных провайдеров алгоритм вычисления может отличаться.

Измерения фактической полосы пропускания могут проводиться, например, каждые 5 минут в течение месяца: зафиксированный за эти минуты объем трафика делится на 300 секунд – так получается среднее значение фактической полосы пропускания за эти 5 минут. Затем статистика этих значений анализируется, 5% самых высоких показателей отбрасываются, и клиенту выставляется счет на основе максимума из оставшихся 95% значений. Как при этом учитывается входящий и исходящий трафик – по отдельности или по совокупности, зависит от метода расчета, который применяет конкретный ISP-провайдер.



Очевидно, объемы потребляемого трафика распределяются по времени неравномерно: их значения будут разными в течение суток (ночью, как правило, обмен данными не так велик, как днем), месяца (в выходные, предпраздничные и праздничные дни оно будет не таким, как в другие дни) и года (поскольку сезонные колебания бывают у очень многих компаний). Но если обобщить и проанализировать значения фактически использованной в течение месяца полосы пропускания, то выяснится, что их статистика будет близка к нормальному распределению Гаусса. И, кстати, 50-й перцентиль совпадает с медианой – серединой кривой Гаусса.

Подобные оценки с применением перцентилей можно встретить в различных отраслях и областях применений: N-й перцентиль указывает на то, что доля случаев (измерений, ситуаций и пр.), в которых значения оцениваемого показателя не превышают определенной величины, составляет N/100.

Почему 95-й перцентиль выгоден и ISP-провайдерам, и их клиентам
Почему в телекоме так любят именно 95-й перцентиль? На самом деле иногда ISP-провайдеры берут в расчет 90% значений фактически потребленной полосы пропускания, реже 98%, при этом, соответственно, отсекаются 10% или 2% максимальных. Но в большинстве случаев выбирается именно 95% или 95-й перцентиль как некий разумный компромисс между интересами ISP-провайдера и его клиентов.

И провайдеры, и их клиенты считают экономически оправданным и вполне справедливым взимать плату за 95% фактически потребленной полосы пропускания: клиенты платят за фактически потребленную полосу пропускания, к тому же при таком подсчете отсекаются всплески, вызванные кратковременными случайными факторами (в том числе DDoS-атаками), и остаются значения, которые фиксируются систематически, в течение большей части времени измерений. Таким образом, 95-й перцентиль становится для клиента своего рода страховкой от дополнительных расходов, связанных с непредвиденным кратковременным увеличением трафика.

Со стороны ISP-провайдера 95-й перцентиль обеспечивает вполне приемлемый бонус для клиента, поскольку 5% пиковых значений у одного из клиентов наверняка будут скомпенсированы более низкими значениями объемов трафика у других клиентов и не потребуют от провайдера дополнительных затрат.

Практическое значение 95-го перцентиля для клиентов
На практике величина 95-го перцентиля означает, что в течение 5% времени (а это 36 часов в месяц) фактическая ширина потребляемой полосы пропускания может превышать ту величину, которая будет учтена ISP-провайдером при выставлении счета. В эти 5% времени клиент может отправить или принять гораздо больше трафика, не неся при этом дополнительных расходов.

Приведем пример. Предположим, некая компания электронной торговли приобрела доступ в Интернет с полосой пропускания в 1000 Мбит/с по цене $2700/мес., при этом ее превышение, согласно тарифа, должно оплачиваться из расчета $2,7/Мбит. В очередном месяце компания провела сезонную распродажу, в результате чего наблюдались пики посещаемости длительностью по несколько часов, а в конце месяца на серверах компании прошло скачивание обновлений. Из-за этих событий несколько раз в течение месяца наблюдались кратковременные увеличения полосы пропускания, иногда достигавшие 9500 Мбит/с (DDoS-атаки при этом не учитывались). По итогам месяца все значения реально потребленной полосы пропускания, взятые по средним показателям за каждые 5 минут, провайдер свел в таблицу с N=8640 значениями (если дней в месяце 30), затем отсортировал ее по убыванию, отрезал M=432 (5%) верхних значений и взял максимальное из оставшихся значений (433-е) величиной X. Этот X и есть 95-й перцентиль для этого конкретного случая. Допустим, X=1135 Мбит/с. В этом случае доплата составила (1135 – 1000) * 135₽ = 135 * 135₽ = 18 225₽.

Если бы интернет-провайдер не использовал 95% в своих расчетах, а просто брал максимальное значение реально потребляемой полосы пропускания, то компании пришлось бы доплатить (9500 – 1000) * 135₽ = 1 147 500₽, что для не очень крупного интернет-магазина весьма ощутимая сумма. Либо пришлось бы ограничить полосу пропускания до 1000 Мбит/с, что привело бы к медленной работе, а то и частичной недоступности ресурсов в часы наивысшей нагрузки – как раз тогда, когда доступность важнее всего.

Причинами сильного кратковременного увеличения трафика могут стать и DDoS-атаки. И если общая их продолжительность превысит 5-процентную квоту в 36 часов, и при этом интернет-ресурс не подключен к DDoS-защите, либо сервисы Anti-DDoS не смогут отфильтровать атаки на все 100%, то объем созданного DDoS-атаками нелегитимного трафика отразится на общей статистике значений фактически потребляемой полосы пропускания и приведет к увеличению расходов на каналы связи.

Показания 95-го перцентиля можно использовать и при планировании сетевых мощностей. Например, если значение 95-го перцентиля составляет около 20-30% от пропускной способности сетевых устройств, то при желании вполне можно увеличить их нагрузку еще на 10-15%. Если же величина 95-го перцентиля приближается к 65-70% их мощности, то стоит задуматься о повышении производительности сетевого оборудования. Аналогичным образом 95-й перцентиль помогает планировать и полосу пропускания арендуемых каналов связи.

Заметим, что проведение подобных оценок имеет очень важное значение с точки зрения повышения устойчивости интернет-ресурсов к DDoS-рискам: и мощность сетевых устройств, и ширину арендуемой полосы пропускания каналов связи следует наращивать заранее, в противном случае есть опасность того, что нелегитимный трафик от достаточно мощной DDoS-атаки полностью их исчерпает, не давая возможности пропускать хотя бы какую-то часть легитимного.