Эксперты лаборатории CyberFirst MINT выявили и подробно описали механизм DDoS-атак, получивший название Velvet-DDoS, или «бархатная» DDoS-атака. Как сообщили CNews представители компании CyberFirst, данный метод представляет собой новую угрозу.
Velvet-DDoS можно считать эволюцией тактики carpet bombing, известной как «ковровые бомбардировки». В рамках carpet bombing вредоносный трафик рассеивается по множеству IP-адресов внутри сетевого диапазона, что позволяет оставаться незамеченным для систем обнаружения, ориентированных на отдельные цели. Однако в случае Velvet-DDoS добавляется дополнительный уровень сложности: нагрузка распределяется не только по множеству целей, но и растягивается во времени.
Вместо того чтобы оказывать постоянное давление на один адрес или атаковать весь диапазон одновременно, Velvet-DDoS переключается между группами целей. Атака генерирует короткие всплески нагрузки на одном наборе IP-адресов, затем перемещается на другой, а после — на следующий. В результате защитная система может воспринимать это не как единый DDoS-инцидент, а как серию локальных пиков, которые трудно связать друг с другом без применения пространственно-временного анализа.
«DDoS-атаки становятся всё менее предсказуемыми. Раньше главным вопросом было: где сейчас находится максимальный объём трафика? В случае Velvet-DDoS более актуален другой вопрос — куда атака направится дальше. Такая механика опасна тем, что заставляет защиту постоянно реагировать на предыдущий импульс, в то время как следующий уже формируется в другом участке инфраструктуры», — отметил специалист CyberFirst MINT.
По данным CyberFirst MINT, Velvet-DDoS характеризуется несколькими ключевыми признаками: динамическим переключением целей, низкой интенсивностью трафика на отдельный IP-адрес, импульсным профилем нагрузки и способностью адаптироваться к действиям защитных систем.
Такая атака может не превышать классические пороговые значения по bps, pps или количеству соединений на одной цели. Локально каждый всплеск может казаться недостаточно критичным, однако в совокупности эти события способны вызывать деградацию инфраструктуры, увеличение задержек, потерю пакетов (packet loss) и нестабильность работы сервисов.
CyberFirst MINT подчёркивает, что основная сложность Velvet-DDoS заключается в нарушении контекста. Если анти-DDoS-система или оператор анализирует каждый IP-адрес изолированно, атака распадается на набор коротких эпизодов. Но при анализе в пространстве и времени становится очевидно, что это не случайные всплески, а единый управляемый сценарий.
Для выявления Velvet-DDoS специалисты CyberFirst MINT рекомендуют применять динамический анализ трафика: отслеживать не только объём нагрузки на отдельный узел, но и корреляции между группами адресов во времени. Важными индикаторами могут служить последовательное смещение нагрузки между узлами, повторяемость временных окон, сохранение схожих характеристик трафика, а также связь между включением фильтрации и изменением направления атаки.
«Атака Velvet-DDoS демонстрирует, что современные системы защиты от DDoS должны учитывать не только объем трафика, но и динамику его распространения. Просто зафиксировать самый крупный всплеск недостаточно. Ключевое значение имеет понимание того, как нагрузка перемещается по инфраструктуре и какие инциденты действительно взаимосвязаны», — отметили представители CyberFirst MINT.
Специалисты CyberFirst считают, что Velvet-DDoS может выделиться в самостоятельную категорию DDoS-тактик. Она не вытесняет carpet bombing, а расширяет его: если carpet bombing решает задачу распределения нагрузки по диапазону, то Velvet-DDoS добавляет новый уровень — управление этим распределением во времени.
Подобный подход требует от защитных решений перехода от статического анализа к пространственно-временной корреляции событий, гибкому распределению фильтрации и более точному моделированию обычного трафика.
