В хостинг‑провайдере RUVDS сообщили «Ъ», что доля нецелевого трафика, который поступает от веб‑серверов, растёт. По итогам 2024 года она составляет уже 12% от общего числа запросов.
Больше половины объёма такого трафика — активность ботнетов, то есть сетей из множества устройств, которые используются для мощных кибератак. Операторы ботнетов всё чаще применяют заражённые компьютеры и серверы для DDoS‑атак.
По словам Михаила Хлебунова, директора по продуктам Servicepipe, злоумышленники обычно арендуют мощности хостинг‑провайдеров для атак на L7-уровне. «Мы сталкивались с атаками, когда злоумышленники не выкупают виртуальные машины, а пользуются промоакциями хостеров и „берут“ их непосредственно под атаку», — отмечает эксперт.
Провайдерам сложно защищать предоставляемые в аренду виртуальные серверы и машины. «Без согласия пользователя хостинг‑провайдер не вправе самостоятельно обновлять клиентское программное обеспечение, к тому же в некоторых случаях такое обновление может приводить к сбоям в его работе», — рассказал директор по информационным технологиям «Рег.ру» Евгений Мартынов.
Денис Полянский, директор по клиентской безопасности провайдера Selectel, подтверждает, что достоверно определить типы атак, исходящих от арендованного оборудования, действительно сложно: «В некоторых случаях по характерным признакам можно понять, что с устройства проходит DDoS‑атака — провайдер видит резкий рост трафика, аномальную сетевую активность, а также нагрузку на сетевое оборудование, поэтому может блокировать такие атаки, информируя клиента о возможном заражении его инфраструктуры». В том случае, если атака осуществлялась на ресурсы, подключённые к государственной системе обнаружения ГосСОПКА, провайдер может получить уведомление об атаке уже от регулятора, добавляет эксперт.
