Руководители компании Cloudflare рассказали о DDoS-атаке, которая обрушилась на их серверы в субботу 15 сентября, в результате чего сервис Cloudflare оказался временно недоступен для части пользователей.
Cloudflare — это сеть доставки контента, под управлением которой находится несколько дата-центров в разных регионах. Компания легко выдерживает DDoS-атаки в десятки гигабит, но с субботней атакой на 65 Гбит/с не справилась.
Самое интересное в рассказе Cloudflare — часть о методах организации атаки. Поскольку руководители компании являются бывшими хакерами, которые работали над проектом Project Honey Pot, то им известны эти методы, в общих чертах. Они объясняют, что для атаки подобной мощности не получится задействовать ботнет, потому что нам требуется около 65 тысяч активных ботов, которые генерируют трафик по 1 Мбит/с каждый. Это нереально, потому что подобная атака возможна при общем размере ботнета в районе 650 тыс. машин. Такое количество исходящего трафика будет легко замечено и блокировано интернет-провайдерами, да и аренда ботнета — дорогое удовольствие.
В случае атаки на Cloudflare использовался один из методов умножения запросов. Здесь умножение осуществлялось за счёт DNS reflection (отражение DNS-запросов) через DNS-резолверы, которые установлены у каждого интернет-провайдера.
Обычно DNS-резолверы сконфигурированы так, чтобы обрабатывать только запросы своих пользователей, но существует большое количество компаний, которые неправильно их сконфигурировали, так что резолверы принимают запросы от любого пользователя интернета. Вот свежий список неправильно сконфигурированных DNS-резолверов.
DNS-запросы обычно идут по протоколу UDP, где можно легко подделать заголовок с обратным IP-адресом. Соответственно, злоумышленники направляют к плохо сконфигурированным DNS-резолверам поток DNS-запросов с IP-адресом жертвы, а резолвер отвечает на указанный адрес. Таким образом, генерируется трафик. Чтобы максимально усилить его, злоумышленники отправляют такие запросы, чтобы ответ на них был как можно больше по объёму: например, запрос списка всех DNS-записей в определённой зоне. Установленные у провайдеров серверы обычно имеют большую пропускную способность, так что сгенерировать 65 Гбит/с для них — не такая уж фантастическая задача. Жертва DDoS-атаки к тому же подвергается гонениям со стороны владельца DNS-сервера, который требует прекратить генерацию потока вредоносных UDP-пакетов.