Исследователи узнают новые подробности о структуре и масштабе DDoS-атаки на DNS-провайдера Dyn, а также возможностях ботнета Mirai.

Dyn выпустила анализ последствий атаки, с некоторыми опущениями (в связи с расследованием некоторые сведения не подлежат разглашению). Исполнительный вице-президент по продукции Скотт Хилтон (Scott Hilton) опубликовал отчет, в котором сказано, что сначала в 7 утра в пятницу на платформу управляемых DNS-услуг были осуществлены две масштабные атаки в Европе, Азии и Южной Америке, затем более мощной атаке подверглось Восточное побережье США. На порт 53 был направлен мусорный UDP- и TCP-трафик с огромного количества IP-адресов.

Dyn удалось подавить первую волну атаки, но через четыре часа пришла вторая волна DDoS-трафика глобального масштаба, справиться с которой удалось только через три часа.

Однако действия по подавлению DDoS имели побочный эффект: из-за этого рекурсивные DNS-сервера начали массово отправлять повторные запросы и пытаться обновить кэш. Эти процессы, пояснил Хилтон, увеличили и без того внушительный объем трафика в 10–20 раз.

«Когда возникает «затор» в передаче DNS-трафика, легитимные повторные запросы могут увеличить мощность атаки. Мы наблюдали, как мусорный и легитимный трафик поступал от миллионов IP-адресов отовсюду, — сказал Хилтон. — Очевидно, атаки исходили по крайней мере с одного ботнета, а избыток повторных запросов послужил ложным сигналом о том, что в атаке участвовало намного больше оконечных точек, чем казалось».

Источником атаки, как и предполагалось, являлся IoT-ботнет Mirai; по оценке Dyn, в пятничной атаке участвовали до 100 тыс. ботов. В основном трафик атаки состоял из избыточных TCP-пакетов — объем TCP-трафика превышал привычный в 40–50 раз, подчеркнули в Dyn. В эти подсчеты даже не входит DDoS-трафик, отраженный при помощи защитных решений Dyn и провайдеров более низкого порядка.

«Были сведения о том, что мощность атаки достигала 1,2 Тбит/с, — сказал Хилтон. — Пока мы не можем подтвердить или опровергнуть эту информацию».

Компания Arbor Networks в это время занялась изучением ботнета Mirai и смогла определить возможности, доступные киберпреступникам, берущим его «напрокат». Платформа адаптируется под нужды клиента; ее можно настроить для генерации потоков UDP-, SYN- и ACK-пакетов, а также для DDoS-атак на уровне приложений (HTTP) или атак типа «пытка водой» (DNS Water Torture Attack, атака с добавлением в начало запрашиваемого имени домена псевдослучайных букв). Изначальный ботнет Mirai располагает от 500 тыс. до 550 тыс. узлов, и его можно сегментировать для одновременных атак на несколько целей.

«Наличие множества сервисов, сдающих готовые DDoS-инструменты и ботнеты в прокат, позволяет многим киберпреступникам варьировать мусорный поток, что, как правило, недоступно обычным пользователям, — сказал Роланд Доббинс (Roland Dobbins), главный инженер в Arbor Networks. — Для этого нужны специальные возможности. Mirai предоставляет мощность и возможности конфигурации всем пользователям».

«Владельцы Mirai как раз могут позиционировать эти возможности как конкурентное преимущество», — объясняет Доббинс. Пока неизвестно, во сколько обойдется аренда Mirai, но выгода такого вложения в долгосрочной перспективе неоспорима, отметил он.

«Организовать DDoS-атаку недорого. Но отражение атак обходится весьма дорого для организаций», — добавил эксперт.

Специалисты сходятся во мнении, что DDoS-атака на Dyn — дело рук хакеров-дилетантов; участие в инциденте спонсируемых государством хакеров маловероятно.

«На поле DDoS все игроки равны, — говорит Доббинс. — Возможности провести масштабную DDoS-атаку доступны как мелким, так и крупным кибергруппировкам».

Категории: DoS-атаки, Аналитика, Главное