В конце мая Prolexic Technologies успешно отразила DDoS-атаку, мощность которой превысила все показатели, зафиксированные компанией за 10 лет ее существования. Данная атака проводилась по методу отражения DNS-запросов (DNS reflection); ее мощность на пике составила 167 Гбит/с, побив все рекорды для атак с DNS-плечом. Имя мишени не разглашается, известно лишь, что этот веб-сервис специализируется на обработке финансовых сделок в реальном времени.

Направленный на мишень паразитный поток был своевременно распределен по четырем специализированным датацентрам Prolexic, размещенным в Гонконге, Лондоне и двух американских городах. Основная часть этой нагрузки пришлась на лондонский «гаситель»: на пике он принял на себя 90 Гб/с DDoS-трафика.

«Это был массированный удар, в котором недостаток технической сложности восполняла грубая сила, – отметил Скотт Хаммэк (Scott Hammack), исполнительный директор Prolexic. – Поскольку у атакованного клиента уже были развернуты проактивные средства защиты Prolexic, вредоносный трафик не достиг его сайта, и простоя удалось избежать. В сущности, наш клиент даже не осознал, что находится под атакой».

При проведении DDoS-атак по методу отражения запросов (Distributed Reflection and Amplification Denial of Service, DrDoS) с использованием открытых DNS-резолверов злоумышленник отправляет серверу-посреднику запросы, подставляя в качестве отправителя IP-адрес мишени. В итоге ответы DNS-резолвера пойдут на адрес мишени, и этот поток будет весьма внушительным, если в атаке участвует много «плечевых» резолверов. Атакующий может также усилить DDoS-трафик, сформулировав DNS-запрос таким образом, чтобы ответ резолвера в разы превышал его по объему. При этом истинный источник DrDoS обычно очень сложно идентифицировать.

По данным Prolexic, открытые резолверы составляли 92% источников отраженного ею DDoS‑трафика. Их ответы, направляемые волей атакующих на адрес мишени, регистрировались на порту 53, который представлял собой некорректный ответ DNS.

«Настанет время, – возможно даже, это будет в конце текущего квартала, – когда мощность DDoS-атак превысит отметку в 200 Гб/с, – прогнозирует Хаммэк. – Чтобы не отстать в этой гонке, Prolexic продолжает выстраивать инфраструктуру, способную гасить DDoS-трафик мощностью до 800 Гб/с, и к концу нынешнего года мы будем располагать каналами с пропускной способностью порядка 1,2Тб/с».

Категории: DoS-атаки