Многие крупнейшие СМИ вчера написали про самую крупную DDoS-атаку в истории интернета против антиспамерской компании Spamhaus. Поток флуда с DNS-резолверов достиг 300 Гбит/с, защитой сети занимается компания Cloudflare.
Заказчиком атаки, предположительно, является голландский хостинг-провайдер Cyberbunker, который и раньше был замечен в сомнительных делишках: предоставлял хостинг порно, сотрудничал с владельцами ботнетов и проч. Сейчас же Spamhaus уличил одного из клиентов Cyberbunker в рассылке спама, так что IP-адреса хостера занесли в чёрный список.
Кто бы ни был заказчиком атаки или исполнителем атаки, эксперты говорят о слишком большом внимании к этому, в общем-то, рядовому событию. Технический директор компании Global Telecom & Technology Ричард Стинберген (Richard A Steenbergen), которая является верхним провайдером для Cloudflare и сотрудничает с некоторыми провайдерами уровня Tier 1, высказался о слишком большом внимании к этому, в общем-то, рядовому событию. Он говорит, что с DDoS-атаками приходится сталкиваться ежедневно. Ну да, сейчас его было больше, чем обычно, но об угрозе для всего интернета и речи не идёт: всего лишь заторы в некоторых точках обмена трафиком (IXP). При этом нужно понимать, что основная часть трафика в интернете идёт не через IXP, а через частный пиринг напрямую между сетями.
Ричард Стинберген подтвердил, что к ним в сеть Tier 2 действительно пошёл трафик в районе 300 Гбит/с. По его словам, это действительно самая крупная DDoS-атака, которая на 10-15% превосходит самые мощные DDoS-атаки в прошлом. Его компания вместе с Cloudflare быстро составила профиль атаки и начала фильтровать трафик.
Появление заторов связано не столько с опасной DDoS-атакой, сколько с неготовностью провайдеров мгновенно перестроить сеть на обслуживание новых потоков данных, хотя технические возможности для этого существует. Ричард Стинберген объясняет, что каждый провайдер стремится минимизировать затраты при максимизации прибыли, так что не оставляет свободными 300 Гбит/с «на всякий случай». Появление в один прекрасный день такого потока, направленного по одному конкретному адресу и вызвало некоторые проблемы кое у кого. Но сталкиваться с проблемами такого рода в телекоммуникационном бизнесе — обычное дело. Собственно, там каждый день возникают те или иные проблемы, такая у них работа — решать их.
Своё мнение относительно DDoS-атаки высказал и российский специалист Александр Лямин из компании Qrator.net в интервью журналу «Хакер». Есть смысл продублировать его слова, которые вчера были добавлены в текст новости с опозданием.
Эта атака не слишком интересна и она есть полное повторение того что мы видели в октябре 2010, с той лишь разницей что это не рекурсивный запрос, а запрос ANY. Актуальная атака сопровождается SYN flood в 10-20 Мбит/с, что указывает на наличие достаточно большой фермы подконтрольных серверов. «Наша оценка 100-150 штук», сказал Лямин. Группа, проводящая эту атаку, возникла на горизонте около полутора месяцев назад с цифрой 10-20 Гбит/с, постепенно наращивая скорости — сканивали новые открытые резолверы и увеличивали количество подконтрольных серверов (генераторов первой ступеньки атаки и syn компоненты). Генераторами второй ступени могут выступать и другие UDP-сервисы, например, NTP. В прошлую пятницу в 6 утра они «пришли в гости» к Qrator на новом уровне 100 Гбит/с, BGP Flowspec нейтрализовал UDP составляющую, synflood отработали обычными методами — syncookies. «С прошлой пятницы в Рунете был массовый террор, пострадали многие магистральные операторы и просто крупные телекомы. Их имена у всех на слуху, но поскольку вопрос этот крайне щепетильный — называть их считаю не этичным», — добавил Александр. По мнению эксперта, атакующая команда, вероятнее всего, наши соотечественники или ближайшие соседи.
Для тех, кто интересуется топологией интернета и хочет больше узнать о пиринге трафика, Ричард Стинберген рекомендует почитать следующие обучающие презентации, которые он подготовил совместно с другими специалистами по телекоммуникациям из группы NANOG.
http://www.nanog.org/meetings/nanog51/presentations/Sunday/NANOG51.Talk3.peering-nanog51.pdf
http://www.nanog.org/meetings/nanog47/presentations/Tuesday/RAS_Future_Points_N47_Tues.pdf
http://www.nanog.org/meetings/nanog47/presentations/Sunday/RAS_Traceroute_N47_Sun.pdf