Крупнейшая DDoS-атака 300 Гбит/с накрыла Интернет

Жертвой атаки стала компания Spamhaus, которая занесла в чёрный список голландского хостинг-провайдера Cyberbunker за рассылку спама. Хостер не простил этого и организовал мощный DDoS.

Эффект от этой DDoS-атаки почувствовали миллионы пользователей интернета, пишет NY Times, у которых стали подтормаживать сайты. Причина в том, что DDoS организован методом флуда через тысячи открытых DNS-резолверов по всему миру.

Известная американская компания CloudFlare, которая специализируется на защите от DDoS-атак, опубликовала разъяснения по поводу этого случая. Специалисты говорят, что сегодня мощность DDoS-атаки выросла до 300 Гбит/с, и теперь она уж точно самая мощная в истории интернета.

Вообще говоря, DDoS против Spamhaus начался ещё на прошлой неделе, 18 марта. На следующий день 19 марта она достигла пикового значения 90 Гбит/с, после чего колебалась в пределах от 90 до 30 Гбит/с и затихла 21 марта. Атака возобновилась с новой силой 120 Гбит/с уже на следующий день 22 марта.

ddos-01

По мнению CloudFlare, в этой атаке не было ничего особенного, кроме её исключительной мощности. Технически она осуществлялась такими же методами, как и предыдущие атаки — умножением трафика через открытые DNS-резолверы.

CloudFlare для отражения атаки распределяет весь трафик равномерно между своими дата-центрами, которые подключены к большому количеству сетей и пиринговых точек обмена трафиком. Когда атакующие Spamhaus поняли, что не могут повредить CloudFlare напрямую, то начали атаковать её вышестоящих пиров. Часть пакетов была отфильтрована на уровне провайдеров Tier 2, а остальное пошло провайдерам уровня Tier 1, где и была зафиксирована мощность атаки 300 Гбит/с.

ddos-02

В целом провайдеры нормально выдержали атаку и никто не отключился от сети, но их сильно зафлудили. В Европе было зафиксировано некоторое увеличение пинга при доступе к разным сайтам.

Атака сказалась даже в центрах обмена трафиком. Например, в лондонском LINX в пиковые часы 23 марта из-за заторов трафик упал более чем вдвое.

ddos-03

Ситуация усугубляется тем, что правоохранительные органы Голландии не могут проникнуть внутрь ядерного бункера, где размещается хостинг-провайдер Cyberbunker. Они уже предприняли несколько силовых попыток штурма, но все они оказались безуспешными.

P.S. Хотя понятно, что они DDoS’или не из бункера, да и вообще нет доказательств причастности компании Cyberbunker к этой атаке.

Один из лучших специалистов по DDoS-атакам в России Александр Лямин из компании Qrator.net пояснил, что эта атака не слишком интересна и она есть «полное повторение того что мы видели в октябре 2010, с той лишь разницей что это не рекурсивный запрос, а запрос ANY». Актуальная атака сопровождается SYN flood в 10-20 Мбит/с, что указывает на наличие достаточно большой фермы подконтрольных серверов: «Наша оценка 100-150 штук», сказал Лямин. Группа, проводящая эту атаку, возникла на горизонте около полутора месяцев назад с цифрой 10-20 Гбит/с, постепенно наращивая скорости — сканивали новые открытые резолверы и увеличивали количество подконтрольных серверов (генераторов первой ступеньки атаки и syn компоненты). Генераторами второй ступени могут выступать и другие UDP-сервисы, например, NTP. В прошлую пятницу в 6 утра они «пришли в гости» к Qrator на новом уровне 100 Гбит/с, BGP Flowspec нейтрализовал UDP составляющую, synflood отработали обычными методами — syncookies. «С прошлой пятницы в Рунете был массовый террор, пострадали многие магистральные операторы и просто крупные телекомы. Их имена у всех на слуху, но поскольку вопрос этот крайне щепетильный — называть их считаю не этичным», — добавил Александр. По мнению эксперта, атакующая команда, вероятнее всего, наши соотечественники или ближайшие соседи.

Источник

З.Ы.  Новость уже успела стать бояном, но все же может кто не в курсе

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Не робот ли ты часом? * Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.