Накануне Рождества Incapsula довелось отражать мощнейшую DDoS-атаку, направленную на ее дата-центры, используемые для гашения мусорного трафика по принципу Anycast. На пике мусорный поток достиг 650 Гбит/с — рекордного для сетей защитника уровня.

Эксперты полагают, что на самом деле целью атакующих был один из клиентов Incapsula, однако им не удалось разрешить нужный IP-адрес, надежно прикрытый прокси-серверами компании. Не добравшись до мишени, инициаторы атаки обрушили свой удар на защитный сервис.

Атака началась около 11 утра 21 декабря. Первый «залп» завершился через 20 минут, показав на пике 400 Гбит/с. Не добившись результата, нападающие перегруппировались и вновь пошли на приступ. На этот раз вредоносный поток оказался намного мощнее — до 650 Гбит/с и 150 Mpps (млн пакетов в секунду). Эта DDoS продолжалась 17 минут, но тоже была с успехом погашена, и атакующие отступились.

Обе атаки, по свидетельству Incapsula, проводились с подменой IP-адреса источника, поэтому установить истинное местоположение ботов или природу задействованных в атаках устройств не удалось. Анализ полезной нагрузки показал, что атакующие использовали две разные техники SYN flood: с пакетами обычной величины (44–60 байт) и с крупными пакетами, размером от 799 до 936 байт. В первом случае атака была нацелена на исчерпание магистральных каналов (создание перегрузки по pps), во втором — на вывод из строя переключателей сети. Подобные двунаправленные атаки Incapsula впервые зафиксировала в четвертом квартале прошлого года.

Более тщательное рассмотрение двух типов нагрузки выявило любопытные особенности. Некоторые SYN-пакеты стандартного размера содержали своеобразную «подпись»: значения в заголовке TCP Options были проставлены таким образом, что в совокупности давали число 1337, что на «языке элиты» означает leet, «элита»:

Incapsula - leet in SYN packet headers

Содержимое некоторых крупноразмерных мусорных пакетов тоже оказалось необычным — вместо строк абсолютно случайных знаков атакующие явно использовали обрывки списка IP-адресов:

Incapsula - SYN packet with a shredded IP list

«По всей видимости, вредоносное ПО, с которым мы столкнулись, запрограммировано на доступ к локальным файлам (например, журналам доступа и спискам iptable) и скремблирует их содержимое для генерации полезной нагрузки», — полагают исследователи. В итоге атака представляла собой поток из дикой смеси раздробленных системных файлов, который изрыгали тысячи скомпрометированных устройств. Это хороший метод обфускации, признают эксперты: с одной стороны, имеется постоянный источник для генерации безмерного количества сильно рандомизированных нагрузок; с другой — это хороший способ обхода сигнатурных защитных решений.

Исследователи уверены, что их обидчик — отнюдь не Mirai или его новейшие варианты, которым DDoS столь высокой мощности вполне по плечу. Дело в том, что размеры SYN-нагрузки жестко прописаны в коде Mirai, превысить их он не в состоянии:

iph->tot_len = htons(sizeof (struct iphdr) + sizeof (struct tcphdr) + 20).

Кроме того, опции TCP в Mirai тоже заданы (MSS, SACK, TSVAL, WSS), и ни одна из них не встретилась в 99,99% пакетов (0,01% исследователи сочли простым совпадением). Наконец, полезную нагрузку Mirai генерирует из случайных строк, и использование системных файлов с этой целью в нем не предусмотрено. Следовательно, заключают эксперты, их атаковал абсолютно новый ботнет. По мощности создаваемых DDoS-потоков Leet, как нарекли его в Incapsula, способен составить конкуренцию Mirai, и дебютом он, скорее всего, не ограничится.

Категории: DoS-атаки, Аналитика, Главное