Компания Incapsula, входящая в состав Imperva и специализирующаяся на защите от DDoS, опубликовала отчет о мощнейшей атаке, которую ей недавно довелось отражать. Эта DDoS была направлена против китайского клиента компании, продолжалась немногим более четырех часов и на пике показала 470 Гбит/с, побив все прежние рекорды, зафиксированные экспертами.

По свидетельству защитников, эту варварскую акцию предваряла серия весьма ощутимых атак на мишень (игорный сайт). Злоумышленники возвращались к ней день за днем в течение недели, однако основной удар был нанесен 14 июня. Мусорный поток сразу начал резко расти и быстро перевалил за 250 Гбит/с. В течение последующих часов мощность возрастала умеренно и к вечеру достигла 470 Гб. После этого начался откат, а через полчаса злоумышленники и вовсе затихли.

По данным Incapsula, эта DDoS была многовекторной: в ходе атаки эксперты насчитали девять типов полезной нагрузки (сетевых пакетов). Вначале это был мощный SYN flood, впоследствии атакующие использовали лишь UDP- и TCP-пакеты. Примечательно, что на полдороге они сменили тактику и резко сократили размеры пакетов с тем, чтобы увеличить скорость их передачи (pps, число пакетов в секунду). В результате к концу DDoS-инцидента этот показатель мощности возрос до 110 Mpps.

Incapsula отмечает, что высокий уровень pps характерен для DDoS, регистрируемых в текущем году. Так, согласно статистике компании, в первом квартале атаки мощностью свыше 50 Mpps происходили в среднем раз в четыре дня, свыше 80 Mpps — раз в восемь дней. Такая тактика нацелена на вывод из строя распространенных средств специализированной защиты, которые зачастую не способны как следует обрабатывать плотные потоки пакетов.

В данном случае DDoS-трафик удавалось с успехом распределять между многочисленными дата-центрами Incapsula по принципу Anycast — перенаправлением пакетов на IP-адрес получателя, ближний в группе. В каждом из 20+ задействованных дата-центров мусорный поток пропускался через фильтрующие серверы, каждый из которых, по свидетельству экспертов, способен обрабатывать до 170 Гбит/с и 100 Mpps трафика без поражения в скорости передачи. Параллельно проводилась глубокая проверка сетевых пакетов, что помогло отсеивать вредоносные на основе типа протокола, длины контента, IP источника и других факторов. В результате принятых мер атака была отражена без малейшего ущерба для других клиентов Imperva/Incapsula.

DDoS такого уровня достаточно редки, но при наличии обширной или специализированной инфраструктуры им можно достойно противостоять — достаточно вспомнить рекорды 2014 года в 400 и 500 Гбит/с. Тем не менее Incapsula напоминает, что мощные атаки порой не так опасны, как «тихие» DDoS, которые трудно вовремя обнаружить и пресечь.

Категории: DoS-атаки, Главное