- PVSM.RU - https://www.pvsm.ru -

Одна из самых больших DDoS-атак в истории

На протяжении последней недели многие пользователи интернета в Европе столкнулись с задержками и кратковременной недоступностью множества сайтов. Их причина — бушевавшая всё это время DDoS-атака, достигавшая 300 гигабит в секунду — одна из самых крупных, возможно даже самая крупная за всю историю интернета. Масштаб атаки был таков, что её ощутили даже «киты», на которых стоит интернет — Tier-1-операторы [1] и крупнейшие точки обмена трафиком европейских столиц.

Причиной атаки стал конфликт [2] между организацией Spamhaus, составляющей списки распространителей спама, и голландским провайдером Cyberbunker [3]. Конфликт разгорелся после того, как Spamhaus включила Cyberbunker в списки спамеров. Cyberbunker — один из самых радикально настроенных «абузоустойчивых» провайдеров. Его услугами пользовалась Пиратская Бухта. Штаб-квартира и сервера Cyberbunker расположены пятиэтажном здании бывшего военного бункера НАТО — отсюда и название. В ответ на действия Spamhaus Cyberbunker начал атаку.

Удар приняла на себя [4] CDN CloudFlare, предоставляющая в том числе и защиту от DDoS. Атака началась 18 марта и на следующий день выросла до 90 Гб/с. 21 марта атака прервалась, но 22 продолжилась с новой силой, увеличившись до 120 Гб/с. Так как завалить саму CloudFlare не удалось, атакующие вскоре переключились на провайдеров, с которыми работает CloudFlare, и увеличили мощность атаки до рекордных 300 Гб/с. Атака затронула сети крупнейших провайдеров, которые в отдельные моменты оказывались перегруженными. 23 марта значительные проблемы были на лондонской точке обмена трафиком. В час пик, когда трафик обычно составляет около полутора терабит, она не справлялась с нагрузкой. Провал хорошо виден на графике:

Одна из самых больших DDoS атак в истории

Атака велась методом DNS amplification — серверы атакующих рассылали DNS-серверам по всему интернету множество рекурсивных запросов с поддельными обратными адресами. Ответ на такой запрос длиной несколько десятков байт может весить несколько килобайт, и отправляется он по адресу жертвы, «усиливая» таким образом атаку. С помощью DNS amplification можно добиться гораздо большего трафика, чем обычным ботнетом, так как в роли «зомби» оказываются не пользовательские компьютеры со слабым каналом, а серверы. Чтобы провести такую атаку, надо иметь списки адресов уязвимых DNS-серверов. Судя по всему, списки Cyberbunker были очень длинными и качественными. Об этой уязвимости DNS известно уже давно [5], но до сих пор миллионы серверов по всему миру не закрыли её.

Автор: ilya42

Источник [6]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/30562

Ссылки в тексте:

[1] Tier-1-операторы: http://ru.wikipedia.org/wiki/Tier-1-%D0%BE%D0%BF%D0%B5%D1%80%D0%B0%D1%82%D0%BE%D1%80%D1%8B

[2] конфликт: http://www.nytimes.com/2013/03/27/technology/internet/online-dispute-becomes-internet-snarling-attack.html

[3] Cyberbunker: http://cyberbunker.com/web/index.php

[4] приняла на себя: http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet

[5] известно уже давно: http://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack

[6] Источник: http://habrahabr.ru/post/174483/