Просмотров: 13360

На Spamhaus обрушилась крупнейшая в истории Интернета DDoS-атака


Инженеры сети доставки контента CloudFlare опубликовали подробности крупнейшей в истории DDoS-атаки, отразившейся в том числе на работе некоторых первичных операторов связи.

Атака была направлена против ресурса Spamhaus.org, поддерживающего DNSBL-списки для блокирования рассылки спама. На начальном этапе интенсивность проходящего в рамках атаки трафика достигала 85 Гбит/с, позднее отдельными первичными операторами были зафиксированы пики до 300 Гбит/с. Наиболее сильно от атаки пострадал Лондонский узел обмена трафиком LINX, на котором из-за атаки наблюдались заметные провалы в обработке валидного трафика.

ддос спамеры На Spamhaus.org обрушилась одна из крупнейших в истории Интернета DDoS-атак

Примечательно, что атака была организована через задействование открытых для внешних запросов рекурсивных DNS-серверов, которые использовались для приумножения интенсивности трафика. Пользуясь тем, что ответ DNS-сервера превышает по размеру DNS-запрос, путем отправки запросов с указанием фиктивного обратного адреса, в качестве которого указан IP жертвы, создаётся волна трафика из обратных ответов. Заблокировать такую атаку достаточно трудно, так как трафик поступает от легитимных DNS-серверов.

27 марта стало известно, что серверы Spamhaus подверглись «крупнейшей DDoS-атаке в истории». Нападение началось в середине марта и, по всей видимости, продолжается до сих пор. Мощность DDoS-атак составляет 300 гигабит в секунду, при том, что мощности в 50 гигабит в секунду хватает для того, чтобы вывести из строя инфраструктуру крупной финансовой организации.

Расследованием инцидента занимаются специалисты из пяти разных стран. Представители Spamhaus обвиняют в организации атак голландскую компанию Cyberbunker. Некоторое время назад Spamhaus заблокировала ее серверы в связи с подозрениями, что компания предоставляет хостинг спамерам. Представители Cyberbunker обвинили Spamhaus в злоупотреблении полномочиями.

«Чума на оба ваши дома» (с) В. Шекспир

Интересно, что как утверждает Википедия, CyberBunker ранее стала скандально известна своим абьюзоустойчивым хостингом (в котором в частности скрывался от преследований властей Wikileaks):

CyberBunker is a Dutch company that, according to its website, hosts «services to any Web site ’except child porn and anything related to terrorism’». It is known for allegedly hosting spam sites and denial-of-service attacks.

Парадокс в том, что серверы CyberBunker на данный момент недоступны (тогда как проект Spamhaus уже работает в штатном режиме), по словам компании она сама испытывает мощнейшую DDoS-атаку, что всё в совокупности напоминает некие грязные разборки между этими двумя крупными сетевыми организациями.

Первоначально для совершения атаки на Spamhaus были использованы открытые данные проекта Open Resolver Project, формирующего публично доступную базу DNS-серверов, обрабатывающих рекурсивные внешние запросы. На момент атаки в базе была накоплена информация о 21.7 млн открытых резолверов, чем и воспользовались атакующие.


Более подробно об этом инциденте рассказано вот здесь или ещё тута, а вот здесь описан предыдущий рекорд DDoS-атаки — также основанный на эффекте DNS DDoS Amplification.

Комментарий от российских экспертов

  1. Эта атака есть полное повторение того, что мы видели в октябре 2010, с той лишь разницей что это не рекурсивный запрос, а запрос ANY.
  2. Актуальная атака сопровождается SYN flood в 10-20Mpps, что указывает на наличие достаточно большой фермы подконтрольных серверов, наша оценка 100-150 штук.
  3. Группа проводящая эту атаку возникла на горизонте около полутора месяцев назад с цифрой 10-20Gbps, постепенно наращивая скорости — сканировали новые открытые резолверы и увеличивали количество подконтрольных серверов (генераторов первой ступеньки атаки и syn-компоненты).
  4. В прошлую пятницу в 6 утра они пришли в гости к Qrator на новом уровне 100, bgp flowspec нейтрализовал UDP составляющую, synflood отработали обычными методами — syncookies.
  5. С прошлой пятницы в Рунете был массовый террор, пострадали многие магистральные операторы и просто крупные телекомы. Их имена у всех на слуху, но поскольку вопрос этот крайне щепетильный — называть их считаю не этичным.
  6. Данная атакующая команда, вероятнее всего, наши соотечественники или ближайшие соседи.
  7. Профилактика (всем владельцам ДНС-серверов, которые рекурсивно отвечают всему интернету): BCP-38 + query ratelimiting. Дополнительно: почитать тут (общая теория), тут (для NS-запросов) или тут (для ANY-запросов). Для более универсального решения нужно использовать Response Rate Limiting (RRL).
  8. Генератором второй ступени могут выступать и другие UDP services, например NTP.
  9. Парням почти чуть не сломавшим интернет должно быть стыдно, так-же как и парням, которые упорно не соблюдают важный пункт 7.

А вот меня на самом деле пугает совсем другая вещь. DNS reflection/amplification атака с точки зрения реализации элементарна, в связи с чем не нужно ванговать, чтобы утверждать, что чем больше людей о них узнает, тем больше атак мы будем наблюдать и этот год будет не простым. Инструментария по поиску открытых резолверов предостаточно, генераторов dns-запросов тоже.

А удивляет меня тот факт, что интернет сообщество в лице операторов связи по всему миру очень аморфно и не спешит выполнять требования BCP38 (см. пункт 7 в списке выше), который появился в далеком 2000 году. Пока у атакующих будет возможность арендовать/брутить сервера с возможностью спуфа, либо создавать ботнеты из пользовательских ПК, которые также могут спуфить, мы будем наблюдать различиные вариации amplification атак (DNS, NTP, SNMP, etc). И 300Гбит/с не предел, это лишь к вопросу ресурсов у атакующих. С плечом 1:70, достаточно и 10 серверов подключенных гигабитом.

Впрочем, ради справедливости следует уточнить, что никакого плеча 1:70 в реальной жизни чаще всего нет — чаще всего это журналисткая выдумка, усиленная с плечом 1:2 каждым пересказывающим...). Размер UDP DNS ответа ограничен 512 байт, для большего обьема данных нужно использовать TCP, а на TCP со спуфингом вообще никакого усиления не получишь, максимум — SYN-ACK reflection. Да и найти днс-сервер и запрос к нему, чтобы ответ приближался к 512 байт — та ещё задача. Это только рутовые серверы, и ещё для некоторых особо крупных зон, могут генерировать большие списки следующих нс-ов в цепочке. Таких серверов всего несколько десятков, и на них наверняка стоит ограничение исходящего трафика на один ип, не первый день в бизнесе ведь.

А если учесть 14 байт Ethernet, 20 байт для IPv4 заголовка, плюс 8 байт UDP-хидера, плюс сам днс-запрос — полный пакет уже минимум 50 байт. Вот и получается плечо — теоретический максимум 1:10, это для самых коротких доменов типа a.com , среднее плечо будет 1:7, а для обычных нерутовых серверов и того меньше.

В заключение дам ссылку на RFC2671. Это был полный ответ на вопрос, откуда иногда получаем плечо 1:70. Что касается поиска зоны, для которой ответ может превышать 512 байт, здесь можно долго искать длинный ответ, но эти пацаны обычно рисуют TXT-запись на 4 кбайт для изначально фейкового домена.

~

Читайте продолжение этой истории здесь: Интернет напугали таинственным админом-фанатиком из бункера, организовавшего крупнейшую DDoS-атаку.

Внешняя ссылка, возможно хотя бы отчасти поясняющая облике морале атакованного нынче SpamHaus: Spamhaus не задумываясь скинет на вас ядерную бомбу, заподозрив в причастности к рассылке спама + Эксперты считают преувеличенной шумиху вокруг DDoS-атаки 300 Гбит/с.

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru pikabu.ru blogger.com liveinternet.ru livejournal.ru google.com bobrdobr.ru yandex.ru del.icio.us

Подписка на обновления блога → через RSS, на e-mail, через Twitter
Теги: , , ,
Эта запись опубликована: Четверг, 28 марта 2013 в рубрике МненияНовости.

7 комментариев

Следите за комментариями по RSS
  1. >>А если учесть 14 байт Ethernet, 20 байт для IPv4 заголовка, плюс 8 байт UDP-хидера, плюс сам днс-запрос — полный пакет уже минимум 50 байт.

    14 байт Ethernet трафика не надо учитывать - расчет неверный.

  2. !

  3. ?

  4. !

  5. ++!

  6. Eto shtorm bot!

  7. http://freehacks.ru/showthread.php?t=498 - ETO ONI !!!!

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

Зарегистрировать/комментатор

Для регистрации укажите свой действующий email и пароль. Связка email-пароль позволяет вам комментировать и редактировать данные в вашем персональном аккаунте, такие как адрес сайта, ник и т.п. (Письмо с активацией придет в ящик, указанный при регистрации)

(обязательно)


⇑ Наверх
⇓ Вниз