На Spamhaus.org обрушилась крупнейшая в истории DDoS-атака

28 марта 2013 года

Инженеры сети доставки контента CloudFlare опубликовали подробности крупнейшей в истории DDoS-атаки, отразившейся в том числе на работе некоторых первичных операторов связи. Атака была направленна против ресурса Spamhaus.org, поддерживающего DNSBL-списки для блокирования рассылки спама. На начальном этапе интенсивность проходящего в рамках атаки трафика достигала 90 Гбит/с, позднее отдельными первичными операторами были зафиксированы пики до 300 Гбит/с.

Наиболее сильно от атаки пострадал Лондонский узел обмена трафиком LINX, на котором из-за атаки наблюдались заметные провалы в обработке валидного трафика. Таким образом атака продемонстрировала возможность нарушения целостности сети через использование эффекта домино, начинающегося с нарушения работы отдельных точек обмена трафиком, после выхода из строя которых, нарушение связности всё шире охватывает остальных операторов Сети.

Примечательно, что атака была организована через задействование открытых для внешних запросов рекурсивных DNS-серверов, которые использовались для приумножения интенсивности трафика. Пользуясь тем, что ответ DNS-сервера превышает по размеру DNS-запрос, путем отправки запросов с указанием фиктивного обратного адреса, в качестве которого указан IP жертвы, создаётся волна трафика из обратных ответов. Исходный трафик при использовании такой техники приумножается примерно в 100 раз, что в сочетании с трафиком от ботнета позволяет достичь значений, способных негативно влиять на работоспособность всей Сети.

Примечательно, что достигнуть трафика порядка сотни Гбит/с при помощи только ботнета оказалось затруднительно в силу ограниченной пропускной способности линков, к которым подключены входящие в ботнет клиентские машины. Для DNS-серверов как правило используются более широкие каналы связи, что позволяет заметно поднять эффективность атаки. Заблокировать такую атаку достаточно трудно, так как трафик поступает от легитимных DNS-серверов. Для совершения атаки были использованы данные проекта Open Resolver Project, формирующего публично доступную базу DNS-серверов, обрабатывающих рекурсивные внешние запросы. На момент атаки в базе была накоплена информация о 21.7 млн открытых резолверов, чем и воспользовались атакующие.

Дополнение: ресурс Gizmodo опубликовал альтернативную точку зрения, опирающуюся на комментарии представителей NTT, одного из крупнейших магистральных провайдеров, и экспертов компании Renesys, занимающейся мониторингом состояния Интернет. Согласно полученным от них сведениям, никакого глобального влияния эта атака не оказала. Затронуты были только сам Spamhaus и компания CloudFlare, занимающаяся защитой Spamhaus от DDoS атак. При этом, утверждения о глобальном характере атаки исходят исключительно от сотрудников CloudFlare.