21 октября 2016 года, пользователи из США, а затем и из ряда стран Европы обратили внимание на странную недоступность множества сайтов. Со сбоями работали социальные сети, новостные сайты, популярные стриминговые сервисы и так далее. Так, недоступны оказались Twitter, Reddit, Yelp, Imgur, PayPal, Airbnb, Pinterest, Shopify, Soundcloud, Spotify, GitHub, Heroku, Etsy, Box, Weebly, Wix, Squarespace, CPAN, NPM, Basecamp, Twilio, Zoho, HBO, CNN, Starbucks, Yammer и так далее.
Виной всему была DDoS-атака на инфраструктуру DNS-провайдера Dyn. Согласно официальному заявлению представителей Dyn, основным источником атаки являлся ботнет Mirai, и для нападения было задействовано всего порядка 100 000 инфицированных IoT-устройств. Атака осуществлялась посредством пакетов TCP и UDP, через 53 порт.
Напомню, что тогда ответственность за случившееся попытались взять на себя сразу несколько группировок (в том числе New World Hackers), а специалисты строили самые разные теории. Так, Wikileaks предположила, что атака была делом рук поддерживающих Ассанджа хактивистов, специалисты компании Flashpoint высказали теорию, что за всем вообще стоят обычные скрипт-киддис.
Теперь объединенная группа специалистов, в которую вошли сотрудники компаний Google, Cloudflare, Merit Networks, Akamai, а также представители Технологического института Джорджии, Иллинойсского университета в Урбане-Шампейне и Мичиганского университета, представили на конференции Usenix подробный отчет (PDF) о расследовании этой громкой атаки.
Специалистам удалось подтвердить одну из теорий, которую тоже уже высказывали ранее. Оказалось, что атакующие метили в неймсерверы PlayStation Network, однако из-за устройства инфраструктуры Dyn атака на эти конкретные серверы оказала разрушительное воздействие на всю систему в целом. Более того, аналитики сообщают, что в это же время, те же злоумышленники атаковали серверы Xbox Live, Nuclear Fallout и Valve Steam. В итоге эксперты делают вывод, что произошедшее было случайностью, атакующие вообще не собирались выводить из строя немалую часть инфраструктуры Dyn и тем самым провоцировать глобальные сбои в работе интернета.