В минувшие выходные неизвестные злоумышленники провели сокрушительную DDoS-атаку на сеть Cool Ideas (AS37680), одного из ведущих интернет-провайдеров ЮАР. В результате у многочисленных клиентов компании возникли проблемы с подключением; судя по заявлению на сайте компании, нарушилась также связь AS-сети с внешним миром.

Насколько сильным был удар, судить пока можно только по последствиям. Комментируя новую атаку для местной прессы, представитель Cool Ideas заявил, что она была в четыре раза мощнее, чем похожий инцидент, зафиксированный 11 сентября.

Комментатор также отметил, что атакующие применили технику усиления мусорного потока с помощью открытых DNS-резолверов. Репортеру ZDNet в свою очередь удалось узнать, что злоумышленники также использовали еще один способ DDoS-амплификации — через CLDAP.

Примечательно, что нападающие избрали тактику ковровой бомбардировки (carpet bombing), то есть «бомбили» не единственную мишень, а тысячи IP-адресов в сети. Распыленный таким образом мусорный поток не причинил большого вреда клиентам Cool Ideas, от перегрузки страдали лишь роутеры на границе AS-сети, которые в итоге отказали.

Позже выяснилось, что DDoS-инцидент также затронул еще одного поставщика интернет-услуг в Южной Африке — компанию Atomic Access.

В комментарии для ZDNet специалист по ИБ Такер Престон (Tucker Preston) отметил, что тактика ковровой бомбардировки используется в основном против интернет-провайдеров. По его словам, такой метод позволяет обойти простейшую защиту вроде blackhole-фильтрации (со сбросом нежелательных пакетов на уровне маршрутизатора), а также сетевые анализаторы.

«В случае успеха подобные атаки обычно вызывают прерывание обслуживания в масштабах всей сети и продолжительные потери в производительности, — цитирует ZDNet пояснения эксперта. — Иногда атаку умышленно проводят в часы пиковой интернет-активности, чтобы усугубить недовольство пользователей. В итоге провайдер несет убытки и теряет репутацию».

DDoS-атаки, проводимые в форме ковровых бомбардировок, не редкость — достаточно вспомнить нашумевшие инциденты в Либерии и Камбодже. Подобные случаи — хороший повод лишний раз напомнить провайдерам о необходимости модернизации средств защиты от DDoS. Собеседник ZDNet, например, рекомендует повсеместно использовать протокол DDoS Open Threat Signaling (DOTS), предусматривающий обмен данными телеметрии в реальном времени между доменами или в рамках одного домена. Предотвратить атаку carpet bombing также поможет, по его мнению, фильтрация трафика с использованием протокола BGP flowspec (RFC 5575).

Категории: DoS-атаки, Кибероборона