Кибер-войны. Крупнейшая в истории DDoS-атака
Распределение трафика состоянием на 29 марта.
На сайте Akamai есть отличная карта в реальном времени.
Уже почти неделю продолжается крупнейшая в истории DDoS-атака, мощность которой достигала временами 300 Гбит/с - многие обычные пользователи сети столкнулись из-за неё с замедлением скорости передачи данных и временной недоступностью некоторых сайтов. Широкой общественности о цифровой войне стало известно 27-го марта. Причина атаки - конфликт антиспамерской организации Spamhaus, специализирующейся на блокировке серверов, занимающихся рассылкой спам-сообщений, и голландского провайдера Cyberbunker, славящегося крайне лояльным отношением к делам своих клиентов. Spamhaus включил Cyberbunker в списки спамеров, на что Cyberbunker ответил атакой.
Особенно примечательна технология атаки, из-за которой и удаётся достигнуть рекордных мощностей - злоумышленники рассылают поддельные пакеты серверам, которые отвечают за перевод имён сайтов из буквенного вида в цифровой IP-адрес. Сервера, получив пакет, в полном соответствии с логикой своего функционирования, пересылают запрос сразу нескольким соседним серверам DNS - и возникает цепная реакция.
Масштаб атаки был таков, что её ощутили даже «киты», на которых стоит интернет - Tier-1-операторы и крупнейшие точки обмена трафиком европейских столиц.
Причиной атаки стал конфликт между организацией Spamhaus, составляющей списки распространителей спама, и голландским провайдером Cyberbunker. Конфликт разгорелся после того, как Spamhaus включила Cyberbunker в списки спамеров. Cyberbunker - один из самых радикально настроенных «абузоустойчивых» провайдеров. Его услугами пользовалась Пиратская Бухта. Штаб-квартира и серверы Cyberbunker расположены в пятиэтажном здании бывшего военного бункера НАТО - отсюда и название. В ответ на действия Spamhaus Cyberbunker начал атаку.
"Customers are allowed to host any content they like, except child porn and anything related to terrorism."
Удар приняла на себя CDN CloudFlare, предоставляющая в том числе и защиту от DDoS. Атака началась 18 марта и на следующий день выросла до 90 Гб/с. 21 марта атака прервалась, но 22 продолжилась с новой силой, увеличившись до 120 Гб/с. Так как завалить саму CloudFlare не удалось, атакующие вскоре переключились на провайдеров, с которыми работает CloudFlare, и увеличили мощность атаки до рекордных 300 Гб/с. Атака затронула сети крупнейших провайдеров, которые в отдельные моменты оказывались перегруженными. 23 марта значительные проблемы были на лондонской точке обмена трафиком. В час пик, когда трафик обычно составляет около полутора терабит, она не справлялась с нагрузкой. Провал хорошо виден на графике:
Атака велась методом DNS amplification - серверы атакующих рассылали DNS-серверам по всему интернету множество рекурсивных запросов с поддельными обратными адресами. Ответ на такой запрос длиной несколько десятков байт может весить несколько килобайт, и отправляется он по адресу жертвы, «усиливая» таким образом атаку. С помощью DNS amplification можно добиться гораздо большего трафика, чем обычным ботнетом, так как в роли «зомби» оказываются не пользовательские компьютеры со слабым каналом, а серверы. Чтобы провести такую атаку, надо иметь списки адресов уязвимых DNS-серверов. Судя по всему, списки атакующих были очень длинными и качественными. Об этой уязвимости DNS известно уже давно, но до сих пор миллионы серверов по всему миру не закрыли её.
А также...
Здесь в интервью представитель Cyberbunker Sven Olaf Kamphuis заявляет о непричастности Cyberbunker к DDoS-атаке и говорит, что ответственность за неё лежит на Stophaus.com, группе провайдеров и отдельных лиц, которая уже давно воюет со Spamhaus. А также обвиняет Spamhaus в том, что организация только прикрывается борьбой со спамом, на самом деле занимаясь интернет-цензурой и шантажом провайдеров. По его словам, Spamhaus, угрожая компаниям местом в своём чёрном списке, заставляет их разрывать контракты с клиентами, с IP-адресов которых исходит спам:
Click to viewИ в то же время, в интервью для New York Times им же было сказано, что Cyberbunker борется со Spamhaus потому что те "злоупотребляют своим влиянием".
Патрик Гилмор, руководитель отдела разработки Akamai Technologies по поводу Cyberbunker сказал: "Эти ребята просто с ума сошли. Честно говоря, они попались. Они считают, что им должны разрешить рассылать спам."
Сетевые атаки 28 марта. Источник - Akamai.
Источники:
http://habrahabr.ru/post/174483/
http://www.nytimes.com/2013/03/27/technology/internet/online-dispute-becomes-internet-snarling-attack.html