Специалисты лаборатории CyberFirst MINT зафиксировали и описали механику DDoS-атак, которую компания называет Velvet-DDoS — «бархатной» DDoS-атакой. Об этом CNews сообщили представители CyberFirst.
Velvet-DDoS можно рассматривать как развитие тактики carpet bombing, или «ковровых бомбардировок». При carpet bombing атакующий трафик распределяется по множеству IP-адресов в пределах сетевого диапазона, что позволяет оставаться ниже порогов обнаружения на отдельной цели. Однако в Velvet-DDoS появляется дополнительный уровень сложности: нагрузка распределяется не только по множеству целей, но и во времени.
Вместо постоянного давления на один адрес или одновременной атаки на весь диапазон Velvet-DDoS переключается между группами целей. Атака создаёт короткие импульсы нагрузки на одном наборе IP-адресов, затем смещается на другой, после этого — на следующий. В результате защитная система может видеть не единый DDoS-инцидент, а серию локальных всплесков, которые сложно связать между собой без пространственно-временного анализа.
«DDoS-атаки становятся менее линейными. Раньше ключевым вопросом было: где сейчас максимальный объём трафика? В случае Velvet-DDoS важнее другой вопрос — куда атака сместится дальше. Такая механика опасна тем, что она заставляет защиту постоянно догонять предыдущий импульс, пока следующий уже формируется в другом участке инфраструктуры», — сказал специалист CyberFirst MINT.
По оценке CyberFirst MINT, Velvet-DDoS отличается несколькими признаками: динамическим переключением целей, низкой интенсивностью трафика на отдельный IP-адрес, импульсным профилем нагрузки и возможной адаптацией к реакции защитных систем.
Такая атака может не пересекать классические пороговые значения по bps, pps или количеству соединений на одной цели. Локально каждый всплеск может выглядеть недостаточно критичным, но в совокупности такие события способны вызывать деградацию инфраструктуры, рост задержек, packet loss и нестабильность сервисов.
CyberFirst MINT отмечает, что основная сложность Velvet-DDoS заключается в разрыве контекста. Если анти-DDoS-система или оператор анализирует каждый IP-адрес изолированно, атака распадается на набор коротких эпизодов. Но при анализе в пространстве и времени становится заметно, что это не случайные всплески, а единый управляемый сценарий.
Для обнаружения Velvet-DDoS специалисты CyberFirst MINT предлагают использовать динамический анализ трафика: отслеживать не только объём нагрузки на отдельный узел, но и корреляции между группами адресов во времени. Важными индикаторами могут быть последовательное смещение нагрузки между узлами, повторяемость временных окон, сохранение похожих характеристик трафика и связь между включением фильтрации и изменением направления атаки.
«Velvet-DDoS показывает, что современная DDoS-защита должна анализировать не только объём трафика, но и движение атаки. Недостаточно увидеть самый большой всплеск. Важно понимать, как нагрузка перемещается по инфраструктуре и какие события на самом деле связаны между собой», — сказали в CyberFirst MINT.
По мнению специалистов CyberFirst, Velvet-DDoS может стать отдельной категорией DDoS-тактик. Она не заменяет carpet bombing, а развивает его: если carpet bombing отвечает на вопрос, как распределить нагрузку по диапазону, то Velvet-DDoS добавляет следующий уровень — как управлять этим распределением во времени.
Такой подход требует от защитных систем перехода от статического анализа к пространственно-временной корреляции событий, адаптивному распределению фильтрации и более точному моделированию нормального поведения трафика.
Поделиться
