Суровая действительность преподнесла сюрприз всем, кто думал, что прошлогодняя DDoS-атака на Spamhaus установила непреодолимый рекорд по мощности. 10 февраля на ряд европейских веб-серверов обрушился мусорный поток, который на пике составил около 400 Гб/с.

Скупые детали этого нападения стали известны благодаря твит-сообщениям, которые публиковал по ходу атаки Мэтью Принс (Matthew Prince), исполнительный директор CloudFlare. По словам Принса, данная DDoS-атака была направлена против одного из клиентов его компании, являющейся оператором обширной сети доставки контента (CDN). «У кого-то появилась новая большая пушка, — констатировал Принс. — Теперь жди больших неприятностей».

На пике новая DDoS превзошла аналогичный инцидент со Spamhaus, произошедший в марте прошлого года. Максимальная мощность мусорного трафика тогда была оценена в 300 Гб/с и в три раза превысила уровень, зафиксированный несколькими месяцами ранее в ходе атак на американские банки. А на этой неделе ведущий хостинг-провайдер Франции OVH, например, зафиксировал пик «много более 350 Гб/с».

Несмотря на беспрецедентную мощность, атака на клиента CloudFlare, по словам ее руководителя, не вызвала больших простоев. «В Западной Европе наблюдались дополнительные задержки, — отметил Принс, — но в целом сеть не пострадала. Атака проводилась с упором на мощность, и на территории Европы кое-где возникли перегрузки по уровню 3. Удар разошелся по всей нашей глобальной сети, но клиенты за пределами Европы его практически не ощутили». Согласно сообщению в Twitter, мощнейшая DDoS была с успехом отбита в тот же день.

Как стало известно, столь внушительный мусорный поток был создан с помощью «плечевых» посредников. Однако на сей раз это были не открытые DNS-резолверы, как в атаке на Spamhaus, а уязвимые сервисы синхронизации времени, работающие по NTP-протоколу. В конце прошлого года эксперты отметили резкий рост числа атак с NTP-плечом, и после ряда таких инцидентов в игровом бизнесе американская CERT выпустила соответствующее предупреждение.

К сожалению, в Интернете много плохо сконфигурированных NTP-серверов, открытых для злоупотреблений. Атакующий может подать на такой сервер запрос на выполнение определенной команды (MON_GETLIST), подменив IP-адрес отправителя, и направить ответный поток пакетов на выбранную мишень. При этом ответ по размеру может превышать запрос в сотни раз. «Поскольку ответы содержат допустимые данные, исходящие с легальных серверов, такие атаки трудно пресечь», — предупреждает US-CERT, рекомендуя держателям NTP-серверов запретить выполнение monlist-команды или обновить сервер до версии 4.2.7p26, в которой поддержка этой команды отключена.

Категории: DoS-атаки