Иранский облачный провайдер Arvan Cloud столкнулся с DDoS-атакой, построенной на базе прокси-серверов Telegram. Эксперты предупреждают, что новый метод можно использовать для затруднения работы любых сайтов и веб-сервисов.

Проблемы начались утром 6 ноября и продолжались в течение нескольких дней. Пиковая мощность составила около 5000 запросов в секунду, что не создает серьезных трудностей для крупной телекоммуникационной компании, но может вызвать сбои у отдельных интернет-ресурсов.

Расследование DDoS-атаки на Arvan Cloud

Специалисты компании сразу отметили необычность DDoS-атаки. Злоумышленники использовали протокол передачи данных, работающий на канальном уровне (Layer 2), — в большинстве случаев для таких кампаний используются Layer 3/4 и 7. Целью атаки были пограничные серверы Arvan Cloud.

Специалисты установили источник вредоносного трафика простым угадыванием. К правильному ответу их подтолкнула популярность в Иране MTProxy-серверов, которые помогают местным пользователям обходить государственную блокировку Telegram. Эти системы шифруют трафик, затрудняя его фильтрацию. Об эффективности подобных мер говорит тот факт, что Иран быстро достиг первого места по аудитории Telegram, а данные, которыми обмениваются местные пользователи мессенджера, занимают 60% во всем сетевом трафике этого государства.

В то же время, говорят специалисты Arvan Cloud, MTPoxy-серверы легко можно использовать для проведения DDoS-атак. Эксперты подтвердили это на практике, смоделировав атаку: в ходе эксперимента им удалось создать такой же трафик, как до этого они наблюдали в своей инфраструктуре.

По словам Arvan Cloud, этот прецедент особенно опасен в иранских условиях, поскольку теперь администраторы MTPoxy-серверов смогут использовать свои системы в зловредных целях.

Особенности DDoS-атак 2019 года

Чем эффективнее организации защищают свою инфраструктуру от DDoS-атак, тем изощреннее становятся методы злоумышленников. Уже в первые месяцы 2019 года исследователи зафиксировали очередной рекорд по интенсивности потока пакетов, который был побит через три месяца. Однако увеличение pps-показателя (число пакетов в секунду) для вывода из строя сетевого оборудования и ходовых средств защиты — это лишь один метод из арсенала злоумышленников, постоянно экспериментирующих с новыми технологиями.

Так, преступники организуют атаки с помощью HTML-запросов ping, используют арендованные у облачных провайдеров мощности и сервисы удаленного управления macOS-машинами. Традиционной популярностью пользуются IoT-ботнеты, которые тоже сохраняют возможности для технологических экспериментов.

На этом фоне аналитики «Лаборатории Касперского» не раз предупреждали об опасной динамике, которая обнаруживается при исследовании DDoS-атак. С одной стороны, эксперты отмечают растущую долю профессионалов, направляющих лавины мусорных запросов на коммерческие инфраструктуры. С другой стороны, большие проблемы создают и злоумышленники-дилетанты, использующие многочисленные DDoS-сервисы, притом зачастую из хулиганских побуждений.

Категории: DoS-атаки, Главное