Сегодня утром газета NY Times написала про «крупнейшую DDoS-атаку в истории интернета». Жертвой атаки стала компания Spamhaus, которая занесла в чёрный список голландского хостинг-провайдера Cyberbunker за рассылку спама. Хостер не простил этого и организовал мощный DDoS [http://nyti.ms/14oL5De].
Эффект от этой DDoS-атаки почувствовали миллионы пользователей интернета, пишет NY Times, у которых стали подтормаживать сайты. Причина в том, что DDoS организован методом флуда через тысячи открытых DNS-резолверов по всему миру [http://www.xakep.ru/59564/].
Известная американская компания CloudFlare, которая специализируется на защите от DDoS-атак, опубликовала разъяснения по поводу этого случая [http://bit.ly/109YEBc]. Специалисты говорят, что сегодня мощность DDoS-атаки выросла до 300 Гбит/с, и теперь она уж точно самая мощная в истории интернета.
Вообще говоря, DDoS против Spamhaus начался ещё на прошлой неделе, 18 марта. На следующий день 19 марта она достигла пикового значения 90 Гбит/с, после чего колебалась в пределах от 90 до 30 Гбит/с и затихла 21 марта. Атака возобновилась с новой силой 120 Гбит/с уже на следующий день 22 марта.
По мнению CloudFlare, в этой атаке не было ничего особенного, кроме её исключительной мощности. Технически она осуществлялась такими же методами, как и предыдущие атаки — умножением трафика через открытые DNS-резолверы.
CloudFlare для отражения атаки распределяет весь трафик равномерно между своими дата-центрами, которые подключены к большому количеству сетей и пиринговых точек обмена трафиком. Когда атакующие Spamhaus поняли, что не могут повредить CloudFlare напрямую, то начали атаковать её вышестоящих пиров. Часть пакетов была отфильтрована на уровне провайдеров Tier 2, а остальное пошло провайдерам уровня Tier 1, где и была зафиксирована мощность атаки 300 Гбит/с.
В целом провайдеры нормально выдержали атаку и никто не отключился от сети, но их сильно зафлудили. В Европе было зафиксировано некоторое увеличение пинга при доступе к разным сайтам.
Атака сказалась даже в центрах обмена трафиком. Например, в лондонском LINX в пиковые часы 23 марта из-за заторов трафик упал более чем вдвое.
Ситуация усугубляется тем, что правоохранительные органы Голландии не могут проникнуть внутрь ядерного бункера, где размещается хостинг-провайдер Cyberbunker. Они уже предприняли несколько силовых попыток штурма, но все они оказались безуспешными.
P.S. Хотя понятно, что они DDoS'или не из бункера, да и вообще нет доказательств причастности компании Cyberbunker к этой атаке.
Один из лучших специалистов по DDoS-атакам в России Александр Лямин из компании Qrator.net пояснил, что эта атака не слишком интересна и она есть «полное повторение того что мы видели в октябре 2010, с той лишь разницей что это не рекурсивный запрос, а запрос ANY». Актуальная атака сопровождается SYN flood в 10-20 Мбит/с, что указывает на наличие достаточно большой фермы подконтрольных серверов: «Наша оценка 100-150 штук», сказал Лямин. Группа, проводящая эту атаку, возникла на горизонте около полутора месяцев назад с цифрой 10-20 Гбит/с, постепенно наращивая скорости — сканивали новые открытые резолверы и увеличивали количество подконтрольных серверов (генераторов первой ступеньки атаки и syn компоненты). Генераторами второй ступени могут выступать и другие UDP-сервисы, например, NTP. В прошлую пятницу в 6 утра они «пришли в гости» к Qrator на новом уровне 100 Гбит/с, BGP Flowspec нейтрализовал UDP составляющую, synflood отработали обычными методами — syncookies. «С прошлой пятницы в Рунете был массовый террор, пострадали многие магистральные операторы и просто крупные телекомы. Их имена у всех на слуху, но поскольку вопрос этот крайне щепетильный — называть их считаю не этичным», — добавил Александр. По мнению эксперта, атакующая команда, вероятнее всего, наши соотечественники или ближайшие соседи.
