Телекоммуникационные компании стали частой целью хакеров из-за большого количества IP-адресов — в 2024 году на телеком пришлось 57% всех DDoS-атак. При этом наиболее опасны ковровые атаки, когда атакуется множество IP-адресов одновременно.
«
Например, та же таргетированная атака обычно направлена на IP-адреса конкретных сервисов, — рассказывает
Евгений Пудовкин, технический эксперт „Телеком биржи“, —
поэтому её вполне реально обнаружить по статистическим аномалиям, когда трафик на определённые сервисы, к примеру, увеличился с 10 Мбит/с до 300 Мбит/с. При обнаружении атакуемого сервиса трафик можно сразу же отправить на очистку. При ковровой атаке на каждый IP-адрес подсети цели поступает небольшое количество вредоносного трафика, при этом либо все IP-адреса, либо просто их большое количество, атакуются одновременно. Если взять, к примеру, одну из январских атак на телеком с площадью „ковра“ 3300 IP-адресов, то даже нагрузка в 1 Мбит/с на каждый IP уже может быть ощутимой. При этом традиционные системы мониторинга часто анализируют только нагрузку на отдельные IP, а не на всю сеть в целом. Атака может оставаться незамеченной, пока её влияние не начнёт вызывать деградацию сервисов. Кроме того, хакеры часто комбинируют ковровые атаки с другими типами многовекторных атак, включая SYN-флуд, UDP-флуд и флуд HTTP-запросами, что усложняет их фильтрацию и требует использования адаптивных систем защиты».Для эффективной защиты магистральные операторы внедряют многоуровневые подходы: мониторинг, анализ трафика, быструю маршрутизацию и многовекторную защиту. Так, например, на российском рынке есть решения, которые эффективно выявляют и фильтруют ковровые атаки, такие как FlowCollector от компании Servicepipe. Об этом решении и акции на него от «Телеком биржи» мы писали
здесь.
Статистика ведущих компаний в области защиты от DDoS-атак и сообщения о результативных атаках на крупных игроков телекоммуникационной отрасли в СМИ указывают на то, что тенденция к массовым атакам на участников рынка продолжится, отмечает
Евгений Пудовкин.
Это подразумевает, что операторам связи и интернет-провайдерам нужны адаптивные решения, которые уже зарекомендовали себя в борьбе с такими атаками. Каждый должен самостоятельно решить, какой формат поставки выбрать — ограничиться программным обеспечением или же рассмотреть возможность использования аппаратного комплекса, подытожил эксперт.Полная версия интервью с нашим экспертом доступна
по ссылке.