На прошлой неделе кто-то попытался повлиять на работу интернета, осуществив атаку на ключевую часть его инфраструктуры — 13 корневых DNS-серверов. DDoS-атака произошла 30 ноября 2015 года и продолжилась 1 декабря. Пиковая мощность нападения составила 5 млн. запросов в секунду.
Агентство IANA, а также официальный сайт root-servers.org сообщают, что зафиксировали необычно мощную DDoS-атаку. Инцидент, имевший место 30 ноября, длился 160 минут (почти три часа), а за ним последовала атака 1 декабря, продолжавшаяся час. И хотя корневые нэйм серверы способны выдерживать огромные нагрузки, злоумышленникам все же удалось на некоторое время увести в оффлайн серверы B, C, G и H. Дело в том, что пиковая мощность атаки составила 5 млн запросов в секунду на сервер, а это много даже для корневых DNS. Впрочем, серьезных последствий всё это не возымело, пользователи могли заметить лишь незначительные задержки при определении имен.
Официальный отчет гласит, что источник атаки выявить не удалось, так как злоумышленники использовали огромное количество IP-адресов, разбросанных по всему IPv4 пространству. Также сообщается, что атака отличалась от обычных усиленных DDoS-атак с применением DNS-серверов (в том числе корневых), когда неправильно сконфигурированные серверы используются в качестве отражателей запросов, с целью вывести из строя сторонний ресурс. В данном случае атакующие активно применяли спуфинг исходных IP-адресов, а также пропустили трафик через большое число anycast-сайтов.
В сети активно строят теории о том, кто мог стоять за атакой. Некоторые даже высказывают предположения, что это была демонстрация возможностей некоего огромного ботнета для потенциальных клиентов.
Для защиты от спуфинга IP-адресов, администраторам и интернет провайдерам рекомендуют использовать фильтрацию и валидацию запросов, отсылая их к документу BCP-38.
На фото зеркало сервера «K» в Amsterdam Internet Exchange, автор Bas van Schaik