Охватывая два года, с марта 2015 до февраля 2017, исследователи нашли, что приблизительно одна треть адресного пространства IPv4 подверглась некоторым DoS-атакам, где преступник злонамеренно разрушает услуги хозяина, связанного с Интернетом. IPv4 – четвертая версия адреса Internet Protocol (IP), числовая этикетка, назначенная на каждое устройство, участвующее в компьютерной сети.«Мы говорим приблизительно миллионы о нападениях», сказал Альберто Дайнотти, исследователь в CAIDA (Центр Прикладного интернет-Анализа данных), базирующийся в San Diego Supercomputer Center (SDSC) в Калифорнийском университете Сан-Диего и научном руководителе отчета. «Результаты этого исследования гигантские по сравнению с тем, о чем крупные компании сообщали общественности».Добавленный первый автор исследования, Мэттиджс Джонкер, исследователь с Университетом Твенте в Нидерландах и бывшего молодого специалиста CAIDA: «Эти результаты поймали нас врасплох в том смысле, что это не было что-то, что мы ожидали находить.
Это – что-то, что мы просто не видели прибытие».Исследование – представленный 1 ноября 2017 на интернет-Конференции по Измерению в Лондоне и изданный на Слушаниях Ассоциации вычислительной техники (IMC ’17) – проливает свет на большинство DoS-атак в Интернете, его жертвах, и даже принятии коммерческих услуг, чтобы бороться с этими нападениями.Подчеркнуты два преобладающих типа DoS-атак, предназначенных, чтобы сокрушить обслуживание чистой массой запросов:«Прямые» нападения, которые включают движение, посланное непосредственно в цель от некоторой инфраструктуры, которой управляют нападавшие (например, их собственные машины, ряд серверов, или даже ботнета под их командой.) Эти нападения часто включают «случайное высмеивание», характеризуемый, фальсифицируя исходный IP-адрес в движении нападения.Нападения «Отражения», во время которых сторонние серверы непреднамеренно используются, чтобы отразить движение нападения к его жертве.
Много протоколов, которые допускают отражение также, добавляют увеличение, заставляя объем отраженного движения, посланного к жертве быть много раз больше, чем посланный к отражателю первоначально.Чтобы обнаружить нападения, исследователи – совместное усилие из Сан-Диего UC, Университета Твенте и Саарландского университета в Германии – использовали два источника исходных данных что дополнение друг друга: Сетевой Телескоп UCSD, который захватывает доказательства DoS-атак, которые включают беспорядочно и однородно высмеянные адреса; и AmpPot DDoS (распределенный отказ в обслуживании) ловушки, которые свидетельствуют отражение и увеличение DoS-атак.Их данные показали больше чем 20 миллионов DoS-атак, которые предназначались приблизительно для 2,2 миллионов «разрезов 24 или/24» интернет-адреса (часть кода банка, который обозначает длину в битах префикса), который является приблизительно одной третью 6,5 миллионов блоков/24, которые, как оценивают, были живы в Интернете./24 – блок 256 IP-адресов, обычно назначаемых на единственную организацию.
Если единственный IP-адрес в блоке/24 является целью чистой массы запросов или объемного нападения, вероятно, что сетевая инфраструктура всего блока/24 затронута.«Другими словами, в этот недавний двухлетний период при исследовании, Интернет являлся целью почти 30 000 нападений в день», сказал Дайнотти. «Эти абсолютные числа колеблются, в тысячу раз больше, чем другие отчеты показали».
Однако один из исследователей добавил, что она волновалась, что эти статистические данные вероятны «недооценка действительности».«Хотя наше исследование использует современные контрольные методы, мы уже знаем, что не видим некоторые типы DoS-атак», сказала Анна Сперотто, доцент в Дизайне и Анализе Систем связи (DACS) отдел в Университете Твенте. «В будущем нам будет нужна еще более полная характеристика экосистемы DoS, чтобы обратиться к этому пункту».Как мог бы ожидаться, больше чем четверть целенаправленных адресов в исследовании прибыла в Соединенные Штаты, страну с большинством интернет-адресов в мире.
Япония, с третьим большинством интернет-адресов, занимает место где угодно от 14-го до 25-го для количества DoS-атак, указывая на относительно безопасную страну для DoS-атак, в то время как Россия – главный пример страны, которая занимает место выше, чем оценки для интернет-использования пространства, предлагая относительно опасную страну для этих нападений.Несколько сторонних организаций, которые предлагают веб-хостинг, были также идентифицированы как главные цели; три наиболее часто подвергшихся нападению «более многочисленных партии» за два периода года были: GoDaddy, Google Cloud и Wix. Другие включали Squarespace, Gandi и OVH.«Большинство времен, это – клиент, который подвергается нападению», объяснил Дайнотти. «Таким образом, если у Вас будет большее число клиентов, у Вас, вероятно, будет больше нападений.
Если Вы принимаете миллионы веб-сайтов, конечно, Вы собираетесь видеть больше нападений».Кроме определения количества количества DoS-атак в Интернете, исследователи также хотели видеть, побудили ли нападения владельцев веб-сайта покупать службу защиты DoS.
Их исследование отметило, что люди были более склонны произвести защиту на стороне третьим лицам после сильного нападения. В зависимости от интенсивности нападения миграция к стороннему обслуживанию могла бы произойти даже в течение 24 часов после нападения.«Одна из вещей, которые мы показываем, – то, если веб-сайт подвергается нападению, это создает безотлагательность для людей начать производить на стороне к службе защиты», сказал Джонкер.
Хотя исследование не обращается к причинам для хорошо признанного повышения DoS-атак в последние годы в интервью, исследователи отметили несколько больших вероятностей включая: кибервымогательство, киберпреступность, кибервойна, политический протест нацелился на правительства, цензуру от авторитетных режимов, нападения, касающиеся игр онлайн (например, получить конкурентное преимущество), школьники, которые могут напасть, чтобы не сдавать экзамен, и рассердил бывших сотрудников.«Даже нетехнические люди могут пойти в значительное наступление через DDoS как Поставщики услуг (т.е. Футболисты)», сказал Джонкер. «Люди могут заплатить другим подпиской в обмен на всего несколько долларов».Что касается будущих исследований, исследователи сказали, что хотели оценить воздействие нападений, видеть, удалось ли им снять целенаправленную сеть; они также изучают политические нападения, подобные засвидетельствованным в Египте и Ливии, которые подверглись исследованию 2012 года во главе с исследователями CAIDA.
Под грантом на американское Министерство национальной безопасности (РАЗНОСТИ ВЫСОТ) команда CAIDA также планирует непрерывно контролировать экосистему DoS, чтобы обеспечить данные для анализа к агентствам и другим исследователям своевременно.Также участие в исследовании было: Алистер Кинг, исследователь CAIDA; и Иоганнес Krupp и Кристиан Россоу, оба от CISPA, Саарландского университета.
Поддержка исследования пришла от РАЗНОСТЕЙ ВЫСОТ; Справочник Исследования Военно-воздушных сил; Организация Нидерландов по Научному исследованию; и OpenINTEL, совместный проект Университета Твенте, SURFnet и SIDN.